[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2004-01
Múltiples Vulnerabilidades en el Protocolo H.323
----------------------------------------------------------------------
El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a
incidentes de *Seguridad en Cómputo*, ha emitido éste boletín donde
informan de la existencia de varias vulnerabilidades que han sido
descubiertas en diversas implementaciones del protocolo de telefonía
multimedia H. 323. Equipo y software de Voz sobre IP (VoIP) y de
videoconferencia pueden utilizar estos protocolos para comunicarse
sobre diversas redes de computadoras.
Fecha de Liberación: 13 de Enero de 2004
Ultima Revisión: 14 de Enero de 2004
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes, así como Foros y
Listas de Discusión.
SISTEMAS AFECTADOS
==================
* Varios sistemas de software y hardware que implementan el
protocolo H.323
Algunos ejemplos incluyen:
o Dispositivos y software VoIP (Voice over Internet
Protocol).
o Equipo y software de videoconferencia.
o Dispositivos y software de SIP (Session Initiation
Protocol).
o Dispositivos y software MGCP (Media Gateway Control
Protocol).
o cualquier otro equipo de red que pueda procesar tráfico
H.323 (por ej. routers y firewalls).
I. DESCRIPCIÓN
==============
El Centro de Coordinación de Seguridad de Infraestructura Nacional
del Reino Unido (NISCC <http://www.niscc.gov.uk/>) ha reportado
múltiples vulnerabilidades en implementaciones de varios fabricantes
del protocolo de telefonía multimedia H. 323. H.323 es un protocolo
estándar internacional, publicado por la Unión Internacional de
Telecomunicaciones, y se usa para facilitar la comunicación entre
sistemas de telefonía y multimedia. Algunos ejemplos de tales
sistemas son VoIP, equipo de videoconferencia y dispositivos de red
que manejan tráfico H.323. Un conjunto de pruebas desarrollado por
el NISCC y el Grupo de Programación en Seguridad de la Universidad
de Oulu (OUSPG <http://www.ee.oulu.fi/research/ouspg/>) ha expuesto
múltiples vulnerabilidades en diversas implementaciones del
protocolo H.323 (específicamente su sub-protocolo de configuración
de conexión H.225.0)
En la sección *Información de Distribuidores* de este boletín
encontrará detalles sobre implementaciones H.323 de distribuidores
específicos y en la sección Información de Distribuidores del
Boletín de Vulnerabilidad del NUSCC 006489/H323
<http://www.uniras.gov.uk/vuls/2004/006489/h323.htm>
El NISCC está dando seguimiento a estas vulnerabilidades como
NISCC/006489/H.323
<http://www.uniras.gov.uk/vuls/2004/006489/h323.htm>. El CERT/CC
está dando seguimiento a este problema como Nota de Vulnerabilidad
VU#749342 <http://www.kb.cert.org/vuls/id/749342>. Éste número de
referencia corresponde la candidato CAN-2003-0819
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0819> del
Grupo CVE <http://www.cve.mitre.org/>, así como también esta
refenciado en el Boletín de Seguridad de Microsoft MS04-001
<http://www.microsoft.com/technet/security/bulletin/ms04-001.asp>.
II. IMPACTO
===========
La explotación de estas vulnerabilidades puede resultar en la
ejecución de código arbitrario o provocar una Negación de Servicio
(DoS), que en algunos casos podría requerir reiniciar el sistema.
III. SOLUCIÓN
=============
* Aplicar una Actualización del Distribuidor
El *Apéndice A* y la sección *Sistemas Afectados* de la Nota de
Vulnerabilidad ´ VU#749342
<http://www.kb.cert.org/vuls/id/749342#systems> contienen
información proporcionada por los distribuidores de éste boletín.
Sin embargo, conforme los distribuidores reporten información nueva,
el CERT actualizará la Nota de Vulnerabilidad VU#749342
<http://www.kb.cert.org/vuls/id/749342#systems>. Si un distribuidor
específico no está listado, significa que no se han recibido sus
comentarios.
* Filtrar el Tráfico de Red
Se sugiere aplicar filtros de paquetes de red para bloquear el
acceso a los servicios H.323 en los perímetros de las redes. Esto
puede minimizar el potencial de ataques de negación de servicio
originados desde fuera del perímetro. Los servicios específicos que
deberían filtrarse son
* 1720/TCP
* 1720/UDP
Si no se puede filtrar el acceso en el perímetro de la red, el
UNAM/CERT recomienda limitar el acceso sólo para aquellos hosts
externos que requieran H.323 para la operación normal. Como una
regla general, se recomienda filtrar todos los tipos de tráfico de
red que no se requieren para la operación normal.
Es importante notar que algunos firewalls procesan paquetes H.323 y
pueden ser, en sí mismos, vulnerables a un ataque. Como se puede
notar en algunas recomendaciones de fabricantes como en Boletín de
Seguridad de Cisco 20040113-h323
<http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml#process>
y el Boletín de Seguridad de Microsoft MS04-001
<http://www.microsoft.com/technet/security/bulletin/ms04-001.asp>,
ciertos sitios podrían deshabilitar la inspección en la capa de
aplicación de paquetes de red H.323.
Proteger su infraestructura contra estas vulnerabilidades podría
requerir coordinación cuidadosa entre aplicación, computadora, red y
administradores de telefonía. Es posible que tenga que encontrar un
equilibrio entre seguridad y funcionalidad hasta que los productos
vulnerables puedan actualizarse.
APÉNDICE A. Información de Distribuidores
=========================================
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada. Si un distribuidor no se encuentra listado a
continuación o en las notas de vulnerabilidad individuales significa
que no se ha recibo información por parte del mismo. Consulte
directamente a su distribuidor.
* 3com
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Alcatel
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Apple Computer Inc.
Apple: No Vulnerable. Mac OS X y Mac OS X Server no contiene el
componente descrito en esta nota.
* AT&T
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Avaya
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
* Borderware
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Check Point
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* BSDI
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Cisco Systems Inc.
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
* Clavister
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Computer Associates
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Cyberguard
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
* Debian
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* D-Link Systems
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Conectiva
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* EMC Corporation
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Engarde
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* eSoft
No tenemos una implementacion H.323 y por lo tanto no somo
afectados por este problema.
* Extreme Networks
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* F5 Networks
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Foundry Networks Inc.
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* FreeBSD
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
* Fujitsu
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
* Global Technology Ass
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Hitachi/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
<http://www.uniras.gov.uk/vuls/2004/006489/h323.htm>
*/Hewlett-Packard Company/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/Ingrian Networks/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Intel/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Intoto/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Juniper Networks/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Lachman/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Linksys/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Linksys/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Lotus Software/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Lucent Technologies/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
* Microsoft Corporation
Consulte
http://www.microsoft.com/technet/security/bulletin/MS04-001.asp
*/MontaVista Software/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/MandrakeSoft/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Multi-Tech Systems Inc./*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/NEC Corporation/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/NetBSD/*
Aunque hay un número de implementaciones de terceros en el
system pkgsrc. Algunos de estos productos pueden ser
vulnerables, o actualizados, los paquetes deben ser actualizados
correctamente. El mecanismo de auditoria de paquetes puede ser
utilizado para verificar las versiones de paquetes vulnerables.
*/Netfilter/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/NetScreen/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Network Appliance/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Nokia/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Nortel Networks/*
Los siguientes productos y soluciones disponibles de Nortel
Networks son potencialmente afectados por las vulnerabilidades
identificadas en el boletín NISCC 006489/H323 y CERT VU#749342:
Business Communication Manager (BCM) (todas las versiones) son
potencialmente afectadas; para mayor información dirigirse a la
alerta del producto No. PAA 2003-0392-Global.
Los sistemas ?Succession 1000 IP Trunk?, ?IP Peer Networking? y
?802.11 Wireless IP Gateway? son afectados potencialmente; mayor
información disponible en la alerta del producto No.
PAA-2003-0465-Global.
Para mayor información contactar a:
Norte América: 1-800-4NORTEL o 1-800-466-7835
Europa, Medio Oeste y Africa: 00800 8008 9009, ó +44 (0) 870 907
9009
Para otras partes del mundo:
http://www.nortelnetworks.com/help/contact/global/
O visite el portal eService en http://www.nortelnetworks.com/cs
<http://www.nortelnetworks.com/cs> bajo Advanced Search.
Si usted es socio, puede encontrar mayor información en
http://www.nortelnetworks.com/pic bajo Advanced Search.
*/Novell/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Objective Systems Inc./*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/OpenBSD/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Openwall GNU/*/Linux/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/RadVision/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/Red Hat Inc./*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/Oracle Corporation/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Riverstone Networks/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Secure Computing Corporation/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/SecureWorks/*
No hay información actualmente disponible del proveedor para esta
vulnerabilidad.
*/Sequent/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Sony Corporation/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Stonesoft/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Sun Microsystems Inc./*
SNMP de Sun no provee soporte para H.323, por lo tanto no es
vulnerable. Hasta ahora no se ha encontrado ningún paquete en
los productos que esté afectado por esta vulnerabilidad. Además
se encuentran investigando sus productos para identificar si
éstos son afectados. Las actualizaciones estarán disponibles en
cuanto se tengan.
*/SuSE Inc./*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Symantec Corporation/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/Unisys/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/TandBerg/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/Tumbleweed Communications Corp./*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/TurboLinux/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/uniGone/*
Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm
*/WatchGuard/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Wirex/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Wind River Systems Inc./*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/Xerox/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
*/ZyXEL/*
No hay información actualmente disponible del proveedor para
esta vulnerabilidad.
------------------------------------------------------------------------
Esta vulnerabilidad fue descubierta por el Equipo de Manejo de
Vulnerabilidades del NISCC y el Grupo de Programación en Seguridad
de la Universidad de Oulu (OUSPG).
------------------------------------------------------------------------
Autores de la Versión Original: *Jeffrey S. Havrilla, Mindi J.
McDowell, Shawn V. Hernan and Jason A. Rafail
------------------------------------------------------------------------
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* José Inés Gervacio Gervacio (jgervacio en seguridad unam mx)
* Sergio Alavez Miguel (salavez en seguridad unam mx)
* Rubén Aquino Luna (raquino en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
============
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2004-01.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-01.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQAWttHAvLUtwgRsVAQHNOQgArMbz2Jzf4Wms+Sw/VEdzfgM1QdKE6c16
RV9J5hGXyUdXzwemcqfKVt3++RxbKopKRbwrK8F/BMrORGtJ0PnJublofBOdDZ5f
ZZYxyxTwer3n3wYsI4f2xozEi+HcVnh5XN28+zpWSUw46zG+BVt2CyAdR540gZwe
BHhtjAspw3MbmRE+VSMFibCO5eG7UuNRfFNKlJsZDkJvjy9ihz8UaJi2ZqKQSABH
tuXjpThXoXw5O/SSXTZbTKhU+nQcK0rIkG+zSK2tVBcSkwSw7uriVpGWy9V16LV9
+x+nyuEmtkusbGxSYBw11EaeUU83KxESod/bzC3WHeys1E3zyKozjA==
=5iJd
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html