[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]la bronca es que si tengo redhat el openssl lo tengo instalado como rpm, como le hago para actualizarlo? si redhat todavia no tienen el parche ni la actualizacion. ----- Original Message ----- From: "Gunnar Wolf" <gwolf en campus iztacala unam mx> To: <ayuda en linux org mx> Sent: Wednesday, September 18, 2002 2:45 AM Subject: [Ayuda] Mas de la vulnerabilidad > Les mando este boletín respecto a la vulnerabilidad que les comentaba hace > rato. > > Saludos, > > -- > Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118 > PGP key 1024D/8BB527AF 2001-10-23 > Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF > > ---------- Forwarded message ---------- > Date: Tue, 17 Sep 2002 19:32:34 -0500 (CDT) > From: UNAM-CERT <unam-cert en seguridad unam mx> > Reply-To: admin-unam en seguridad unam mx > To: UNAM-CERT <unam-cert en seguridad unam mx> > Subject: [Admin-UNAM] Boletin-UNAM-CERT-2002-027 "Gusano Apache/mod_ssl" > > -----BEGIN PGP SIGNED MESSAGE----- > > ------------------------------------------------------------------ > UNAM-CERT > > Departamento de Seguridad en Cómputo > > DGSCA- UNAM > > Boletín de Seguridad UNAM-CERT 2002-027 > > Gusano Apache/mod_ssl > > ------------------------------------------------------------------ > > El CERT/UNAM-CERT , a través de sus equipos de respuesta a > incidentes de Seguridad en Cómputo, han emitido éste boletín en el > cual informan que han recibido reportes de código malicioso de > autopropagación que explota una vulnerabilidad ( VU#102795) en > OpenSSL. Este código malicioso ha sido referenciado como gusano > Apache/mod_ssl, linux.slapper.worm y gusano bugtraq.c . Reportes > recibidos por el CERT/UNAM-CERT indican que el gusano > Apache/mod_ssl ya ha infectado a miles de sistemas. > > Fecha de 17 de Septiembre de > Liberación: 2002 > > Ultima Revisión: 17 de Septiembre de > 2002 > CERT/CC y diversos > Fuente: reportes de Equipos de > Respuesta a > Incidentes. > > > SISTEMAS AFECTADOS > ------------------ > > * Sistemas Linux ejecutando Apache con mod_ssl accediendo a > SSLv2 habilitado en OpenSSL 0.9.6d ó en versiones anteriores > sobre arquitecturas Intel x86 > > > DESCRIPCIÓN > ----------- > > El gusano Apache/mod_ssl es un código malicioso autopropagable que > explota la vulnerabilidad en OpenSSL descrita en VU#102795. Esta > vulnerabilidad estaba entre los temas discutidos en el Boletín de > Seguridad UNAM-CERT 2002-023 Múltiples Vulnerabilidades en > OpenSSL. Mientras que esta vulnerabilidad en el servidor OpenSSL > existe en una amplia variedad de plataformas, el gusano > Apache/mod_ssl aparentemente trabaja solo en sistemas Linux > ejecutando Apache con el módulo OpenSSL (mod_ssl) en arquitecturas > Intel. > > El gusano Apache/mod_ssl escanea el puerto 80/tcp de sistemas > potencialmente vulnerables utilizando un requerimiento HTTP GET > inválido. Cuando un sistema Apache potencialmente vulnerable es > detectado, el gusano intenta conectarse al servicio SSL por medio > del puerto 443/tcp para entregar el código de exploit. Si es > satisfactorio, una copia del código fuente malicioso es colocada > en el servidor víctima, donde el sistema del intruso intentará > compilarla y ejecutarla. Una vez infectado, el servidor víctima > comienza a escanear otros servidores para continuar la propagación > del gusano. > > Adicionalmente, el gusano Apache/mod_ssl puede actuar como una > plataforma de lanzamiento de ataques DDoS (Distributed Denial of > Service) contra otros sitios, mediante la construcción de una red > de servidores infectados. Durante el proceso de infección, el > servidor del intruso da instrucciones a la nueva víctima infectada > para inicializar el tráfico de regreso al sistema del intruso en > el puerto 2002/udp. Una vez que este canal de comunicación ha sido > establecido, el sistema infectado forma parte de la red DDoS del > gusano Apache/mod_ssl. Los servidores infectados pueden de esta > forma compartir información con otros sistemas infectados de > acuerdo a las instrucciones del intruso. De esta forma, el tráfico > en el puerto 2002/udp puede ser utilizado por un intruso remoto > como una canal de comunicación entre los sistemas infectados para > coordinar ataques contra otros sitios. > > Reportes realizados al CERT/UNAM-CERT indican que el alto volumen > de tráfico en el puerto 2002/udp generado entre los servidores > infectados con el gusano Apache/mod_ssl puede crear problemas de > rendimiento en redes con servidores infectados. Además, reparando > un servidor infectado no remueve su dirección IP de la red Punto a > Punto del gusano Apache/mod_ssl, los sitios que han tenido > servidores infectados con el gusano Apache/mod_ssl y han sido > parchados subsecuentemente, pueden continuar presentando niveles > de tráfico significantes en el puerto 2002/udp direccionados a los > sistemas infectados. > > * Identificar Servidores Infectados > ----------------------------------- > > Los reportes indican que el código fuente del gusano > Apache/mod_ssl es colocado en /tmp/.bugtraq.c en los sistemas > infectados. Este es compilado con gcc , dando como resultado un > binario ejecutable almacenado en /tmp/.bugtraq; De esta forma, la > presencia de cualquiera de los siguientes archivos en los sistemas > Linux ejecutando Apache con OpenSSL es indicio de compromiso del > sistema. > > > /tmp/.bugtraq.c > /tmp/.bugtraq > > > La fase de prueba del ataque puede observarse en el registro del > servidor Web como se muestra en el ejemplo siguiente. Es > importante hacer notar que pueden existir otras causas para tales > entradas de registro, de esta forma, la aparición de las entradas > marcadas (o similares) en el registro de un servidor Web no > deberían ser interpretadas como evidencia de compromiso. Sin > embargo, su presencia es un indicio para la realización de una > investigación a fondo. > > Ejemplo: La prueba inicial para identificar la versión del > software del servidor. > > > GET / HTTP/1.1 > > > Nota: En base a los reportes recibidos inicialmente por el > CERT/UNAM-CERT, las versiones anteriores de éste Boletín > mencionaron otros mensajes de error de SSL que podrían ser > registrados en los servidores potencialmente vulnerables. En un > análisis más completo, hemos concluido que éstos mensajes de > registros no tienen relación con el gusano Apache/mod_ssl. Una > explicación de una posible causa de éstos otros mensajes de error > en mod_ssl fue proporcionada por Inktomi y aparece en el Apéndice > A. > > Los servidores que se encuentren escuchando en el puerto 2002/udp > para la transmisión de datos son también indicativos de compromiso > por el gusano Apache/mod_ssl. > > * Detectar Actividad del Gusano Apache/mod_ssl en la Red > --------------------------------------------------------- > > Los sistemas infectados son fácilmente identificables en una red > por las siguientes características de tráfico: > > * Prueba - Escaneos al puerto 80/tcp > * Propagación - Conexiones al puerto 443/tcp > * DDoS - Transmisión o recepción de datagramas con fuente y > destino en el puerto 2002/udp. Este tráfico es utilizado como > un canal de comunicación entre los sistemas infectados para > coordinar ataques contra otros sitios. > > Adicionalmente, los servidores infectados que están activamente > participando en ataques DDoS contra otros sistemas pueden generar > altos volúmenes inusuales de tráfico de ataques utilizando varios > protocolos (TCP, UDP, ICMP por ejemplo). > > > IMPACTO > ------- > > El compromiso por el gusano Apache/mod_ssl indica que un intruso > remoto puede ejecutar código arbitrario como el usuario apache en > el sistema víctima. Puede ser posible para un intruso > subsecuentemente ejecutar un exploit de elevación de privilegios > locales con el objetivo de obtener acceso de Administrador Local > en el sistema víctima. El alto volumen de tráfico generado en el > puerto 2002/udp entre los servidores infectados con el gusano > Apache/mod_ssl puede conducir a problemas de rendimiento en redes > con servidores infectados. Además, las capacidades de los ataques > DDoS incluidas en el gusano Apache/mod_ssl permiten a un sistema > víctima utilizar a otros sistemas como plataformas de lanzamiento > de ataques. > > > SOLUCIONES > ---------- > > * Aplicar un Parche > ------------------- > > Se recomienda a todos los Administradores de los sistemas > ejecutando OpenSSL revisar CA-2002-23 y VU#102795 para obtener > recomendaciones detalladas de los parches proporcionados por los > distribuidores. Información adicional de distribuidores está > disponible en el Apéndice A. > > Se debe hacer notar que mientras la vulnerabilidad explotada por > el gusano Apache/mod_ssl fue solucionada desde la versión 0.9.6e > de OpenSSL, a la última versión de OpenSSL, la 0.9.6g. Los > administradores podrían actualizar su versión de OpenSSL a alguna > de las anteriormente mencionadas. > > El siguiente texto es tomado del CA-2002-23. > > Actualizar a la Versión 0.9.6e de OpenSSL > > Actualizar a la versión 0.9.6e de OpenSSL para resolver > los problemas mencionados en este boletín. Como se hizo > notar en el Boletín de OpenSSL, también se encuentran > disponibles los parches por separado: > > Parches combinados para OpenSSL 0.9.6d: > http://www.openssl.org/news/patch_20020730_0_9_6d.txt > > Después de aplicar los parches anteriores o actualizar a > la versión 0.9.6e , se deben recompilar todas las > aplicaciones utilizando OpenSSL para soportar servicios > SSL o TLS, y se deben reiniciar dichos servicios o > sistemas. Esto eliminará todo el código vulnerable > conocido. > > Los sitios ejecutando la preliberación de la versión > 0.9.7-beta2 de OpenSSL pueden actualizar a la versión > 0.9.7-beta3, la cual corrige estas vulnerabilidades. Los > parches están disponibles también por separado. > > Parches combinados para OpenSSL 0.9.7 beta 2: > http://www.openssl.org/news/patch_20020730_0_9_7.txt > > > Deshabilitar SSLv2 > ------------------ > > Deshabilitando el handshaking en SSLv2 prevendrá el exploit de > VU#102795 . El CERT/UNAM-CERT recomiendan consultar la > documentación de mod_ssl para obtener una completa descripción de > las opciones, pero uno de los métodos para deshabilitar SSLv2 es > remover SSLv2 como cifra soportada en la directiva SSLCipherSuite > en el archivo de configuración. Por ejemplo: > > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+SSLv2 > > > Lo cual permite que SSLv2 pueda ser cambiado a > > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!SSLv2 > > > deshabilitando SSLv2. Se debe cambiar +SSLv2 a !SSLv2. > > Sin embargo, los sistemas pueden permanecer susceptibles a otras > vulnerabilidades descritas en CA-2002-23. > > > Filtrar el Tráfico de Entrada y Salida > -------------------------------------- > > Los siguientes pasos son solamente efectivos para limitar el daño > que sistemas ya infectados con el gusano Apache/mod_ssl puedan > hacer. No proporcionan protección en absoluto contra la infección > inicial del sistema. Como resultado, estos pasos son solamente > recomendados como un agregado a los pasos anteriores y no como > otra solución que reemplace a alguna de las anteriores. > > Filtrar los datos de ingreso permite tener un mejor control del > flujo del tráfico cuando se introduce a la red. Los servidores son > las únicas máquinas que necesitan aceptar tráfico de entrada desde > el Internet público. En las políticas de red que se utilizan en > muchos sitios, los servidores externos se les permite solamente > inicializar tráfico de entrada a las máquinas que proporcionan > servicios públicos en puertos específicos. De esta forma, el > filtrado de los datos de ingreso debería ser realizado en el > límite para prohibir que sea inicializado externamente tráfico de > entrada para servicios no autorizados. > > Filtrar los datos de salida permite tener un mejor control del > flujo de tráfico cuando sale de la red. Existe la necesidad de > limitar típicamente las máquinas que proporcionan servicios > públicos que inicializan conexiones salientes hacia el Internet. > > En el caso del gusano Apache/mod_ssl, empleando el filtrado el > tráfico de entrada y salida puede ayudar a prevenir que los > sistemas en la red participen en la red DDoS del gusano y ataquen > otros sistemas. Bloqueando los datagramas UDP que tienen como > fuente y destino el puerto 2002 para permitir la entrada y salida > de datos en la red, reduce el riesgo de que sistemas externos > infectados se comuniquen con servidores infectados dentro de la > red. > > > Recuperación de un Sistema Comprometido > --------------------------------------- > > Si se cree que el sistema ha sido comprometido, se deben seguir > los pasos mencionados en: > > Pasos de Recuperación de un Sistema UNIX ó NT > > > APÉNDICE A. Información de Distribuidores > ------------------------------------------ > > Este Apéndice contiene información proporcionada por los > distribuidores de éste boletín. Tan pronto como los distribuidores > reporten nueva información al CERT/UNAM-CERT, se actualizará esta > sección. Si un distribuidor en particular no se encuentra listado > a continuación, significa que no se han recibido comentarios de su > parte. > > Apple Computer, Inc. > > La vulnerabilidad descrita en éste reporte ha sido referenciada > como: > > * Security Update 2002-08-23 para Mac OS X 10.2 (Jaguar), y > como > * Security Update 2002-08-02 para Mac OS X 10.1.5. > > Covalent Technologies > > Covalent Technologies ha sido informado por RSA Security de que > las bibliotecas BSAFE utilizadas por implementaciones SSL de > Covalent son potencialmente vulnerables al problema de negociación > SSL V2 detallado en VU 102795 y los boletines relacionados: > Boletín de Seguridad UNAM-CERT 2002-023 y Boletín de Seguridad > UNAM-CERT 2002-027. Todos los productos Covalent utilizando SSL > son afectados. Covalent tiene actualizaciones de sus productos e > información disponible en: > http://www.covalent.net/products/rotate.php?page=110. > > Inktomi > > Como se hizo notar en el boletín, los mensajes de registro en el > servidor, como por ejemplo: > > > GET /mod_ssl:error:HTTP-request HTTP/1.0 > > > no indican necesariamente que el sistema este comprometido. > Cualquier requerimiento HTTP a un puerto que espera prestar > servicios a requerimientos HTTPS generará este mensaje en el > registro. El Inktomi Web crawler hace un seguimiento de enlaces > URL publicados en páginas Web públicas y algunas veces es > direccionado de forma incorrecta hacia servidores https. El > crawler no utiliza mod_ssl de Apache (ni ningún tipo de SSL), de > esta forma no está sujeto al compromiso descrito en este boletín. > Pero los requerimientos crawler presentan dos de los síntomas del > gusano Apache/mod_ssl: > > * Prueba - Escaneos al puerto 80/tcp > * Propagación - Conexiones al puerto 443/tcp > > El crawler no utiliza el puerto 2002/udp. Los accesos al puerto 80 > ó los errores de handshake HTTPS de un Inktomi Web crawler no > representan un ataque al servidor Web. > > Los sistemas Inktomi crawler tienen hostnames de la forma > > > j[1-9][0-9][0-9][0-9].inktomisearch.com > si[1-9][0-9][0-9][0-9].inktomisearch.com > > > Las direcciones IP de los servidores Inktomi crawler se resolverán > de forma DNS inversa para nombres de esta forma. > > > INFORMACIÓN > ----------- > > Éste documento se encuentra disponible en su formato original en > la siguiente dirección: > > http://www.cert.org/advisories/CA-2002-027.html > > Para mayor información acerca de éste boletín de seguridad > contactar a: > > UNAM CERT > Equipo de Respuesta a Incidentes UNAM > Departamento de Seguridad en Computo > DGSCA - UNAM > E-Mail : seguridad en seguridad unam mx > http://www.unam-cert.unam.mx > http://www.seguridad.unam.mx > ftp://ftp.seguridad.unam.mx > Tel : 56 22 81 69 > Fax : 56 22 80 43 > > -----BEGIN PGP SIGNATURE----- > Version: 2.6.3i > Charset: cp850 > > iQEVAwUBPYfJrHAvLUtwgRsVAQGKYAgAjs0/AmejHW9ZSxIaXf0Hgam2MkG7k1Jh > vTgPqidpg4bxIR0ghD/TM2lQGwCxXVk6OkoRo241s8UncFOwp1GJLDKL3yaII3Lb > AUGOdBrZe+G/0Xu4SOcsTDjmkSTQAkpOrWrYy/qindZxBc+5u0b+7vvaS5p/yLn4 > KjzNTm/T8OPLSAj+wKkhQitKcPcXt3W0VEycWvTmS3FSLtfTTH3nDsdvl70x84qa > wKb85ZYc+KTIVGzIwasTQx1ggZF7DKpTiqXThcARn9gMZ4CJTyS4onEdiWDSt2fn > oMfgNf7mN8FBlZINQo+aOiRIDshU+HEh/pl3vAxNvv5eEp44Jnh4fw== > =PpSZ > -----END PGP SIGNATURE----- > > > > _______________________________________________ > Lista de Correo Admin-unam > > Mensajes a esta lista : Admin-unam en seguridad unam mx > Archivos historicos :http://www.seguridad.unam.mx/mailman/listinfo/admin-unam > Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html > _______________________________________________ > > _______________________________________________ > Ayuda mailing list > Ayuda en linux org mx > Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/ _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/