[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]esto estaria muy fregon pero el rpm -tb no existe o no funciona el parametro -tb ----- Original Message ----- From: "Juan Pablo Romero" <jpablo en kan ajusco upn mx> To: "alan maciel" <amaciel en bb com mx> Cc: "Gunnar Wolf" <gwolf en campus iztacala unam mx>; <ayuda en linux org mx> Sent: Wednesday, September 18, 2002 3:54 PM Subject: Re: [Ayuda] Mas de la vulnerabilidad > Yo acabo de actualizarlo de esta forma: > > bajas el tar.gz del sitio de openssl (la última versión es 0.9.6g): > > http://www.openssl.org > > lo compilas con > > rpm -tb openssl-0.9.6g.tar.gz > > esto te va a crear los archivos: > > openssl-0.9.6g-1.i386.rpm > openssl-devel-0.9.6g-1.i386.rpm > openssl-doc-0.9.6g-1.i386.rpm > > en /usr/src/redhat/RPMS/i386 > > Desinstalas la versión anterior de openssl, con 'rpm -e openssl-xxx', o > actualizas directamente: > > cd /usr/src/redhat/RPMS/i386 > rpm -Uvh --nodeps openssl-*0.9.6g* > > Después de esto te van a hacer falta los archivos: > > libcrypto.so.2 > libssl.so.2 > > (en redhat 7.3, en distribuciones anteriores puede que sean libxxx.so.1) > > Haces las ligas en algún lugar apropiado, como /usr/lib: > > cd /usr/lib > ln -s libssl.so.0.9.6 libssl.so.2 > ln -s libcrypto.so.0.9.6 libssl.so.2 > /sbin/ldconfig > > Me parece que esto es todo. > > > Saludos > > Juan Pablo > > > On Wed, 2002-09-18 at 12:53, alan maciel wrote: > > la bronca es que si tengo redhat el openssl lo tengo instalado como rpm, > > como le hago para actualizarlo? si redhat todavia no tienen el parche ni la > > actualizacion. > > > > > > ----- Original Message ----- > > From: "Gunnar Wolf" <gwolf en campus iztacala unam mx> > > To: <ayuda en linux org mx> > > Sent: Wednesday, September 18, 2002 2:45 AM > > Subject: [Ayuda] Mas de la vulnerabilidad > > > > > > > Les mando este boletín respecto a la vulnerabilidad que les comentaba hace > > > rato. > > > > > > Saludos, > > > > > > -- > > > Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118 > > > PGP key 1024D/8BB527AF 2001-10-23 > > > Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF > > > > > > ---------- Forwarded message ---------- > > > Date: Tue, 17 Sep 2002 19:32:34 -0500 (CDT) > > > From: UNAM-CERT <unam-cert en seguridad unam mx> > > > Reply-To: admin-unam en seguridad unam mx > > > To: UNAM-CERT <unam-cert en seguridad unam mx> > > > Subject: [Admin-UNAM] Boletin-UNAM-CERT-2002-027 "Gusano Apache/mod_ssl" > > > > > > -----BEGIN PGP SIGNED MESSAGE----- > > > > > ------------------------------------------------------------------ > > > UNAM-CERT > > > > > > Departamento de Seguridad en Cómputo > > > > > > DGSCA- UNAM > > > > > > Boletín de Seguridad UNAM-CERT 2002-027 > > > > > > Gusano Apache/mod_ssl > > > > > ------------------------------------------------------------------ > > > > > > El CERT/UNAM-CERT , a través de sus equipos de respuesta a > > > incidentes de Seguridad en Cómputo, han emitido éste boletín en el > > > cual informan que han recibido reportes de código malicioso de > > > autopropagación que explota una vulnerabilidad ( VU#102795) en > > > OpenSSL. Este código malicioso ha sido referenciado como gusano > > > Apache/mod_ssl, linux.slapper.worm y gusano bugtraq.c . Reportes > > > recibidos por el CERT/UNAM-CERT indican que el gusano > > > Apache/mod_ssl ya ha infectado a miles de sistemas. > > > > > > Fecha de 17 de Septiembre de > > > Liberación: 2002 > > > > > > Ultima Revisión: 17 de Septiembre de > > > 2002 > > > CERT/CC y diversos > > > Fuente: reportes de Equipos de > > > Respuesta a > > > Incidentes. > > > > > > > > > SISTEMAS AFECTADOS > > > ------------------ > > > > > > * Sistemas Linux ejecutando Apache con mod_ssl accediendo a > > > SSLv2 habilitado en OpenSSL 0.9.6d ó en versiones anteriores > > > sobre arquitecturas Intel x86 > > > > > > > > > DESCRIPCIÓN > > > ----------- > > > > > > El gusano Apache/mod_ssl es un código malicioso autopropagable que > > > explota la vulnerabilidad en OpenSSL descrita en VU#102795. Esta > > > vulnerabilidad estaba entre los temas discutidos en el Boletín de > > > Seguridad UNAM-CERT 2002-023 Múltiples Vulnerabilidades en > > > OpenSSL. Mientras que esta vulnerabilidad en el servidor OpenSSL > > > existe en una amplia variedad de plataformas, el gusano > > > Apache/mod_ssl aparentemente trabaja solo en sistemas Linux > > > ejecutando Apache con el módulo OpenSSL (mod_ssl) en arquitecturas > > > Intel. > > > > > > El gusano Apache/mod_ssl escanea el puerto 80/tcp de sistemas > > > potencialmente vulnerables utilizando un requerimiento HTTP GET > > > inválido. Cuando un sistema Apache potencialmente vulnerable es > > > detectado, el gusano intenta conectarse al servicio SSL por medio > > > del puerto 443/tcp para entregar el código de exploit. Si es > > > satisfactorio, una copia del código fuente malicioso es colocada > > > en el servidor víctima, donde el sistema del intruso intentará > > > compilarla y ejecutarla. Una vez infectado, el servidor víctima > > > comienza a escanear otros servidores para continuar la propagación > > > del gusano. > > > > > > Adicionalmente, el gusano Apache/mod_ssl puede actuar como una > > > plataforma de lanzamiento de ataques DDoS (Distributed Denial of > > > Service) contra otros sitios, mediante la construcción de una red > > > de servidores infectados. Durante el proceso de infección, el > > > servidor del intruso da instrucciones a la nueva víctima infectada > > > para inicializar el tráfico de regreso al sistema del intruso en > > > el puerto 2002/udp. Una vez que este canal de comunicación ha sido > > > establecido, el sistema infectado forma parte de la red DDoS del > > > gusano Apache/mod_ssl. Los servidores infectados pueden de esta > > > forma compartir información con otros sistemas infectados de > > > acuerdo a las instrucciones del intruso. De esta forma, el tráfico > > > en el puerto 2002/udp puede ser utilizado por un intruso remoto > > > como una canal de comunicación entre los sistemas infectados para > > > coordinar ataques contra otros sitios. > > > > > > Reportes realizados al CERT/UNAM-CERT indican que el alto volumen > > > de tráfico en el puerto 2002/udp generado entre los servidores > > > infectados con el gusano Apache/mod_ssl puede crear problemas de > > > rendimiento en redes con servidores infectados. Además, reparando > > > un servidor infectado no remueve su dirección IP de la red Punto a > > > Punto del gusano Apache/mod_ssl, los sitios que han tenido > > > servidores infectados con el gusano Apache/mod_ssl y han sido > > > parchados subsecuentemente, pueden continuar presentando niveles > > > de tráfico significantes en el puerto 2002/udp direccionados a los > > > sistemas infectados. > > > > > > * Identificar Servidores Infectados > > > ----------------------------------- > > > > > > Los reportes indican que el código fuente del gusano > > > Apache/mod_ssl es colocado en /tmp/.bugtraq.c en los sistemas > > > infectados. Este es compilado con gcc , dando como resultado un > > > binario ejecutable almacenado en /tmp/.bugtraq; De esta forma, la > > > presencia de cualquiera de los siguientes archivos en los sistemas > > > Linux ejecutando Apache con OpenSSL es indicio de compromiso del > > > sistema. > > > > > > > > > /tmp/.bugtraq.c > > > /tmp/.bugtraq > > > > > > > > > La fase de prueba del ataque puede observarse en el registro del > > > servidor Web como se muestra en el ejemplo siguiente. Es > > > importante hacer notar que pueden existir otras causas para tales > > > entradas de registro, de esta forma, la aparición de las entradas > > > marcadas (o similares) en el registro de un servidor Web no > > > deberían ser interpretadas como evidencia de compromiso. Sin > > > embargo, su presencia es un indicio para la realización de una > > > investigación a fondo. > > > > > > Ejemplo: La prueba inicial para identificar la versión del > > > software del servidor. > > > > > > > > > GET / HTTP/1.1 > > > > > > > > > Nota: En base a los reportes recibidos inicialmente por el > > > CERT/UNAM-CERT, las versiones anteriores de éste Boletín > > > mencionaron otros mensajes de error de SSL que podrían ser > > > registrados en los servidores potencialmente vulnerables. En un > > > análisis más completo, hemos concluido que éstos mensajes de > > > registros no tienen relación con el gusano Apache/mod_ssl. Una > > > explicación de una posible causa de éstos otros mensajes de error > > > en mod_ssl fue proporcionada por Inktomi y aparece en el Apéndice > > > A. > > > > > > Los servidores que se encuentren escuchando en el puerto 2002/udp > > > para la transmisión de datos son también indicativos de compromiso > > > por el gusano Apache/mod_ssl. > > > > > > * Detectar Actividad del Gusano Apache/mod_ssl en la Red > > > --------------------------------------------------------- > > > > > > Los sistemas infectados son fácilmente identificables en una red > > > por las siguientes características de tráfico: > > > > > > * Prueba - Escaneos al puerto 80/tcp > > > * Propagación - Conexiones al puerto 443/tcp > > > * DDoS - Transmisión o recepción de datagramas con fuente y > > > destino en el puerto 2002/udp. Este tráfico es utilizado como > > > un canal de comunicación entre los sistemas infectados para > > > coordinar ataques contra otros sitios. > > > > > > Adicionalmente, los servidores infectados que están activamente > > > participando en ataques DDoS contra otros sistemas pueden generar > > > altos volúmenes inusuales de tráfico de ataques utilizando varios > > > protocolos (TCP, UDP, ICMP por ejemplo). > > > > > > > > > IMPACTO > > > ------- > > > > > > El compromiso por el gusano Apache/mod_ssl indica que un intruso > > > remoto puede ejecutar código arbitrario como el usuario apache en > > > el sistema víctima. Puede ser posible para un intruso > > > subsecuentemente ejecutar un exploit de elevación de privilegios > > > locales con el objetivo de obtener acceso de Administrador Local > > > en el sistema víctima. El alto volumen de tráfico generado en el > > > puerto 2002/udp entre los servidores infectados con el gusano > > > Apache/mod_ssl puede conducir a problemas de rendimiento en redes > > > con servidores infectados. Además, las capacidades de los ataques > > > DDoS incluidas en el gusano Apache/mod_ssl permiten a un sistema > > > víctima utilizar a otros sistemas como plataformas de lanzamiento > > > de ataques. > > > > > > > > > SOLUCIONES > > > ---------- > > > > > > * Aplicar un Parche > > > ------------------- > > > > > > Se recomienda a todos los Administradores de los sistemas > > > ejecutando OpenSSL revisar CA-2002-23 y VU#102795 para obtener > > > recomendaciones detalladas de los parches proporcionados por los > > > distribuidores. Información adicional de distribuidores está > > > disponible en el Apéndice A. > > > > > > Se debe hacer notar que mientras la vulnerabilidad explotada por > > > el gusano Apache/mod_ssl fue solucionada desde la versión 0.9.6e > > > de OpenSSL, a la última versión de OpenSSL, la 0.9.6g. Los > > > administradores podrían actualizar su versión de OpenSSL a alguna > > > de las anteriormente mencionadas. > > > > > > El siguiente texto es tomado del CA-2002-23. > > > > > > Actualizar a la Versión 0.9.6e de OpenSSL > > > > > > Actualizar a la versión 0.9.6e de OpenSSL para resolver > > > los problemas mencionados en este boletín. Como se hizo > > > notar en el Boletín de OpenSSL, también se encuentran > > > disponibles los parches por separado: > > > > > > Parches combinados para OpenSSL 0.9.6d: > > > http://www.openssl.org/news/patch_20020730_0_9_6d.txt > > > > > > Después de aplicar los parches anteriores o actualizar a > > > la versión 0.9.6e , se deben recompilar todas las > > > aplicaciones utilizando OpenSSL para soportar servicios > > > SSL o TLS, y se deben reiniciar dichos servicios o > > > sistemas. Esto eliminará todo el código vulnerable > > > conocido. > > > > > > Los sitios ejecutando la preliberación de la versión > > > 0.9.7-beta2 de OpenSSL pueden actualizar a la versión > > > 0.9.7-beta3, la cual corrige estas vulnerabilidades. Los > > > parches están disponibles también por separado. > > > > > > Parches combinados para OpenSSL 0.9.7 beta 2: > > > http://www.openssl.org/news/patch_20020730_0_9_7.txt > > > > > > > > > Deshabilitar SSLv2 > > > ------------------ > > > > > > Deshabilitando el handshaking en SSLv2 prevendrá el exploit de > > > VU#102795 . El CERT/UNAM-CERT recomiendan consultar la > > > documentación de mod_ssl para obtener una completa descripción de > > > las opciones, pero uno de los métodos para deshabilitar SSLv2 es > > > remover SSLv2 como cifra soportada en la directiva SSLCipherSuite > > > en el archivo de configuración. Por ejemplo: > > > > > > > > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+SSLv2 > > > > > > > > > Lo cual permite que SSLv2 pueda ser cambiado a > > > > > > > > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!SSLv2 > > > > > > > > > deshabilitando SSLv2. Se debe cambiar +SSLv2 a !SSLv2. > > > > > > Sin embargo, los sistemas pueden permanecer susceptibles a otras > > > vulnerabilidades descritas en CA-2002-23. > > > > > > > > > Filtrar el Tráfico de Entrada y Salida > > > -------------------------------------- > > > > > > Los siguientes pasos son solamente efectivos para limitar el daño > > > que sistemas ya infectados con el gusano Apache/mod_ssl puedan > > > hacer. No proporcionan protección en absoluto contra la infección > > > inicial del sistema. Como resultado, estos pasos son solamente > > > recomendados como un agregado a los pasos anteriores y no como > > > otra solución que reemplace a alguna de las anteriores. > > > > > > Filtrar los datos de ingreso permite tener un mejor control del > > > flujo del tráfico cuando se introduce a la red. Los servidores son > > > las únicas máquinas que necesitan aceptar tráfico de entrada desde > > > el Internet público. En las políticas de red que se utilizan en > > > muchos sitios, los servidores externos se les permite solamente > > > inicializar tráfico de entrada a las máquinas que proporcionan > > > servicios públicos en puertos específicos. De esta forma, el > > > filtrado de los datos de ingreso debería ser realizado en el > > > límite para prohibir que sea inicializado externamente tráfico de > > > entrada para servicios no autorizados. > > > > > > Filtrar los datos de salida permite tener un mejor control del > > > flujo de tráfico cuando sale de la red. Existe la necesidad de > > > limitar típicamente las máquinas que proporcionan servicios > > > públicos que inicializan conexiones salientes hacia el Internet. > > > > > > En el caso del gusano Apache/mod_ssl, empleando el filtrado el > > > tráfico de entrada y salida puede ayudar a prevenir que los > > > sistemas en la red participen en la red DDoS del gusano y ataquen > > > otros sistemas. Bloqueando los datagramas UDP que tienen como > > > fuente y destino el puerto 2002 para permitir la entrada y salida > > > de datos en la red, reduce el riesgo de que sistemas externos > > > infectados se comuniquen con servidores infectados dentro de la > > > red. > > > > > > > > > Recuperación de un Sistema Comprometido > > > --------------------------------------- > > > > > > Si se cree que el sistema ha sido comprometido, se deben seguir > > > los pasos mencionados en: > > > > > > Pasos de Recuperación de un Sistema UNIX ó NT > > > > > > > > > APÉNDICE A. Información de Distribuidores > > > ------------------------------------------ > > > > > > Este Apéndice contiene información proporcionada por los > > > distribuidores de éste boletín. Tan pronto como los distribuidores > > > reporten nueva información al CERT/UNAM-CERT, se actualizará esta > > > sección. Si un distribuidor en particular no se encuentra listado > > > a continuación, significa que no se han recibido comentarios de su > > > parte. > > > > > > Apple Computer, Inc. > > > > > > La vulnerabilidad descrita en éste reporte ha sido referenciada > > > como: > > > > > > * Security Update 2002-08-23 para Mac OS X 10.2 (Jaguar), y > > > como > > > * Security Update 2002-08-02 para Mac OS X 10.1.5. > > > > > > Covalent Technologies > > > > > > Covalent Technologies ha sido informado por RSA Security de que > > > las bibliotecas BSAFE utilizadas por implementaciones SSL de > > > Covalent son potencialmente vulnerables al problema de negociación > > > SSL V2 detallado en VU 102795 y los boletines relacionados: > > > Boletín de Seguridad UNAM-CERT 2002-023 y Boletín de Seguridad > > > UNAM-CERT 2002-027. Todos los productos Covalent utilizando SSL > > > son afectados. Covalent tiene actualizaciones de sus productos e > > > información disponible en: > > > http://www.covalent.net/products/rotate.php?page=110. > > > > > > Inktomi > > > > > > Como se hizo notar en el boletín, los mensajes de registro en el > > > servidor, como por ejemplo: > > > > > > > > > GET /mod_ssl:error:HTTP-request HTTP/1.0 > > > > > > > > > no indican necesariamente que el sistema este comprometido. > > > Cualquier requerimiento HTTP a un puerto que espera prestar > > > servicios a requerimientos HTTPS generará este mensaje en el > > > registro. El Inktomi Web crawler hace un seguimiento de enlaces > > > URL publicados en páginas Web públicas y algunas veces es > > > direccionado de forma incorrecta hacia servidores https. El > > > crawler no utiliza mod_ssl de Apache (ni ningún tipo de SSL), de > > > esta forma no está sujeto al compromiso descrito en este boletín. > > > Pero los requerimientos crawler presentan dos de los síntomas del > > > gusano Apache/mod_ssl: > > > > > > * Prueba - Escaneos al puerto 80/tcp > > > * Propagación - Conexiones al puerto 443/tcp > > > > > > El crawler no utiliza el puerto 2002/udp. Los accesos al puerto 80 > > > ó los errores de handshake HTTPS de un Inktomi Web crawler no > > > representan un ataque al servidor Web. > > > > > > Los sistemas Inktomi crawler tienen hostnames de la forma > > > > > > > > > j[1-9][0-9][0-9][0-9].inktomisearch.com > > > si[1-9][0-9][0-9][0-9].inktomisearch.com > > > > > > > > > Las direcciones IP de los servidores Inktomi crawler se resolverán > > > de forma DNS inversa para nombres de esta forma. > > > > > > > > > INFORMACIÓN > > > ----------- > > > > > > Éste documento se encuentra disponible en su formato original en > > > la siguiente dirección: > > > > > > http://www.cert.org/advisories/CA-2002-027.html > > > > > > Para mayor información acerca de éste boletín de seguridad > > > contactar a: > > > > > > UNAM CERT > > > Equipo de Respuesta a Incidentes UNAM > > > Departamento de Seguridad en Computo > > > DGSCA - UNAM > > > E-Mail : seguridad en seguridad unam mx > > > http://www.unam-cert.unam.mx > > > http://www.seguridad.unam.mx > > > ftp://ftp.seguridad.unam.mx > > > Tel : 56 22 81 69 > > > Fax : 56 22 80 43 > > > > > > -----BEGIN PGP SIGNATURE----- > > > Version: 2.6.3i > > > Charset: cp850 > > > > > > iQEVAwUBPYfJrHAvLUtwgRsVAQGKYAgAjs0/AmejHW9ZSxIaXf0Hgam2MkG7k1Jh > > > vTgPqidpg4bxIR0ghD/TM2lQGwCxXVk6OkoRo241s8UncFOwp1GJLDKL3yaII3Lb > > > AUGOdBrZe+G/0Xu4SOcsTDjmkSTQAkpOrWrYy/qindZxBc+5u0b+7vvaS5p/yLn4 > > > KjzNTm/T8OPLSAj+wKkhQitKcPcXt3W0VEycWvTmS3FSLtfTTH3nDsdvl70x84qa > > > wKb85ZYc+KTIVGzIwasTQx1ggZF7DKpTiqXThcARn9gMZ4CJTyS4onEdiWDSt2fn > > > oMfgNf7mN8FBlZINQo+aOiRIDshU+HEh/pl3vAxNvv5eEp44Jnh4fw== > > > =PpSZ > > > -----END PGP SIGNATURE----- > > > > > > > > > > > > _______________________________________________ > > > Lista de Correo Admin-unam > > > > > > Mensajes a esta lista : Admin-unam en seguridad unam mx > > > Archivos historicos > > :http://www.seguridad.unam.mx/mailman/listinfo/admin-unam > > > Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html > > > _______________________________________________ > > > > > > _______________________________________________ > > > Ayuda mailing list > > > Ayuda en linux org mx > > > Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/ > > > > _______________________________________________ > > Ayuda mailing list > > Ayuda en linux org mx > > Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/ > _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/