[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2004-01 Múltiples Vulnerabilidades en el Protocolo H.323 ---------------------------------------------------------------------- El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a incidentes de *Seguridad en Cómputo*, ha emitido éste boletín donde informan de la existencia de varias vulnerabilidades que han sido descubiertas en diversas implementaciones del protocolo de telefonía multimedia H. 323. Equipo y software de Voz sobre IP (VoIP) y de videoconferencia pueden utilizar estos protocolos para comunicarse sobre diversas redes de computadoras. Fecha de Liberación: 13 de Enero de 2004 Ultima Revisión: 14 de Enero de 2004 Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión. SISTEMAS AFECTADOS ================== * Varios sistemas de software y hardware que implementan el protocolo H.323 Algunos ejemplos incluyen: o Dispositivos y software VoIP (Voice over Internet Protocol). o Equipo y software de videoconferencia. o Dispositivos y software de SIP (Session Initiation Protocol). o Dispositivos y software MGCP (Media Gateway Control Protocol). o cualquier otro equipo de red que pueda procesar tráfico H.323 (por ej. routers y firewalls). I. DESCRIPCIÓN ============== El Centro de Coordinación de Seguridad de Infraestructura Nacional del Reino Unido (NISCC <http://www.niscc.gov.uk/>) ha reportado múltiples vulnerabilidades en implementaciones de varios fabricantes del protocolo de telefonía multimedia H. 323. H.323 es un protocolo estándar internacional, publicado por la Unión Internacional de Telecomunicaciones, y se usa para facilitar la comunicación entre sistemas de telefonía y multimedia. Algunos ejemplos de tales sistemas son VoIP, equipo de videoconferencia y dispositivos de red que manejan tráfico H.323. Un conjunto de pruebas desarrollado por el NISCC y el Grupo de Programación en Seguridad de la Universidad de Oulu (OUSPG <http://www.ee.oulu.fi/research/ouspg/>) ha expuesto múltiples vulnerabilidades en diversas implementaciones del protocolo H.323 (específicamente su sub-protocolo de configuración de conexión H.225.0) En la sección *Información de Distribuidores* de este boletín encontrará detalles sobre implementaciones H.323 de distribuidores específicos y en la sección Información de Distribuidores del Boletín de Vulnerabilidad del NUSCC 006489/H323 <http://www.uniras.gov.uk/vuls/2004/006489/h323.htm> El NISCC está dando seguimiento a estas vulnerabilidades como NISCC/006489/H.323 <http://www.uniras.gov.uk/vuls/2004/006489/h323.htm>. El CERT/CC está dando seguimiento a este problema como Nota de Vulnerabilidad VU#749342 <http://www.kb.cert.org/vuls/id/749342>. Éste número de referencia corresponde la candidato CAN-2003-0819 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0819> del Grupo CVE <http://www.cve.mitre.org/>, así como también esta refenciado en el Boletín de Seguridad de Microsoft MS04-001 <http://www.microsoft.com/technet/security/bulletin/ms04-001.asp>. II. IMPACTO =========== La explotación de estas vulnerabilidades puede resultar en la ejecución de código arbitrario o provocar una Negación de Servicio (DoS), que en algunos casos podría requerir reiniciar el sistema. III. SOLUCIÓN ============= * Aplicar una Actualización del Distribuidor El *Apéndice A* y la sección *Sistemas Afectados* de la Nota de Vulnerabilidad ´ VU#749342 <http://www.kb.cert.org/vuls/id/749342#systems> contienen información proporcionada por los distribuidores de éste boletín. Sin embargo, conforme los distribuidores reporten información nueva, el CERT actualizará la Nota de Vulnerabilidad VU#749342 <http://www.kb.cert.org/vuls/id/749342#systems>. Si un distribuidor específico no está listado, significa que no se han recibido sus comentarios. * Filtrar el Tráfico de Red Se sugiere aplicar filtros de paquetes de red para bloquear el acceso a los servicios H.323 en los perímetros de las redes. Esto puede minimizar el potencial de ataques de negación de servicio originados desde fuera del perímetro. Los servicios específicos que deberían filtrarse son * 1720/TCP * 1720/UDP Si no se puede filtrar el acceso en el perímetro de la red, el UNAM/CERT recomienda limitar el acceso sólo para aquellos hosts externos que requieran H.323 para la operación normal. Como una regla general, se recomienda filtrar todos los tipos de tráfico de red que no se requieren para la operación normal. Es importante notar que algunos firewalls procesan paquetes H.323 y pueden ser, en sí mismos, vulnerables a un ataque. Como se puede notar en algunas recomendaciones de fabricantes como en Boletín de Seguridad de Cisco 20040113-h323 <http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml#process> y el Boletín de Seguridad de Microsoft MS04-001 <http://www.microsoft.com/technet/security/bulletin/ms04-001.asp>, ciertos sitios podrían deshabilitar la inspección en la capa de aplicación de paquetes de red H.323. Proteger su infraestructura contra estas vulnerabilidades podría requerir coordinación cuidadosa entre aplicación, computadora, red y administradores de telefonía. Es posible que tenga que encontrar un equilibrio entre seguridad y funcionalidad hasta que los productos vulnerables puedan actualizarse. APÉNDICE A. Información de Distribuidores ========================================= El Apéndice A contiene información proporcionada por los distribuidores de éste boletín. Si un distribuidor en particular reporta nueva información al CERT/UNAM-CERT, esta sección será actualizada. Si un distribuidor no se encuentra listado a continuación o en las notas de vulnerabilidad individuales significa que no se ha recibo información por parte del mismo. Consulte directamente a su distribuidor. * 3com No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Alcatel No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Apple Computer Inc. Apple: No Vulnerable. Mac OS X y Mac OS X Server no contiene el componente descrito en esta nota. * AT&T No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Avaya Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm * Borderware No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Check Point No hay información actualmente disponible del proveedor para esta vulnerabilidad. * BSDI No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Cisco Systems Inc. Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm * Clavister No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Computer Associates No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Cyberguard Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm * Debian No hay información actualmente disponible del proveedor para esta vulnerabilidad. * D-Link Systems No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Conectiva No hay información actualmente disponible del proveedor para esta vulnerabilidad. * EMC Corporation No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Engarde No hay información actualmente disponible del proveedor para esta vulnerabilidad. * eSoft No tenemos una implementacion H.323 y por lo tanto no somo afectados por este problema. * Extreme Networks No hay información actualmente disponible del proveedor para esta vulnerabilidad. * F5 Networks No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Foundry Networks Inc. No hay información actualmente disponible del proveedor para esta vulnerabilidad. * FreeBSD No hay información actualmente disponible del proveedor para esta vulnerabilidad. * Fujitsu Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm * Global Technology Ass No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Hitachi/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm <http://www.uniras.gov.uk/vuls/2004/006489/h323.htm> */Hewlett-Packard Company/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */Ingrian Networks/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Intel/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Intoto/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Juniper Networks/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Lachman/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Linksys/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Linksys/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Lotus Software/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Lucent Technologies/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm * Microsoft Corporation Consulte http://www.microsoft.com/technet/security/bulletin/MS04-001.asp */MontaVista Software/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */MandrakeSoft/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Multi-Tech Systems Inc./* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */NEC Corporation/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */NetBSD/* Aunque hay un número de implementaciones de terceros en el system pkgsrc. Algunos de estos productos pueden ser vulnerables, o actualizados, los paquetes deben ser actualizados correctamente. El mecanismo de auditoria de paquetes puede ser utilizado para verificar las versiones de paquetes vulnerables. */Netfilter/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */NetScreen/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Network Appliance/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Nokia/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Nortel Networks/* Los siguientes productos y soluciones disponibles de Nortel Networks son potencialmente afectados por las vulnerabilidades identificadas en el boletín NISCC 006489/H323 y CERT VU#749342: Business Communication Manager (BCM) (todas las versiones) son potencialmente afectadas; para mayor información dirigirse a la alerta del producto No. PAA 2003-0392-Global. Los sistemas ?Succession 1000 IP Trunk?, ?IP Peer Networking? y ?802.11 Wireless IP Gateway? son afectados potencialmente; mayor información disponible en la alerta del producto No. PAA-2003-0465-Global. Para mayor información contactar a: Norte América: 1-800-4NORTEL o 1-800-466-7835 Europa, Medio Oeste y Africa: 00800 8008 9009, ó +44 (0) 870 907 9009 Para otras partes del mundo: http://www.nortelnetworks.com/help/contact/global/ O visite el portal eService en http://www.nortelnetworks.com/cs <http://www.nortelnetworks.com/cs> bajo Advanced Search. Si usted es socio, puede encontrar mayor información en http://www.nortelnetworks.com/pic bajo Advanced Search. */Novell/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Objective Systems Inc./* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */OpenBSD/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Openwall GNU/*/Linux/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */RadVision/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */Red Hat Inc./* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */Oracle Corporation/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Riverstone Networks/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Secure Computing Corporation/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */SecureWorks/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Sequent/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Sony Corporation/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Stonesoft/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Sun Microsystems Inc./* SNMP de Sun no provee soporte para H.323, por lo tanto no es vulnerable. Hasta ahora no se ha encontrado ningún paquete en los productos que esté afectado por esta vulnerabilidad. Además se encuentran investigando sus productos para identificar si éstos son afectados. Las actualizaciones estarán disponibles en cuanto se tengan. */SuSE Inc./* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Symantec Corporation/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */Unisys/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */TandBerg/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */Tumbleweed Communications Corp./* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */TurboLinux/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */uniGone/* Consulte el Boletín de Vulnerabilidad del NUSCC 006489/H323 http://www.uniras.gov.uk/vuls/2004/006489/h323.htm */WatchGuard/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Wirex/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Wind River Systems Inc./* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */Xerox/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. */ZyXEL/* No hay información actualmente disponible del proveedor para esta vulnerabilidad. ------------------------------------------------------------------------ Esta vulnerabilidad fue descubierta por el Equipo de Manejo de Vulnerabilidades del NISCC y el Grupo de Programación en Seguridad de la Universidad de Oulu (OUSPG). ------------------------------------------------------------------------ Autores de la Versión Original: *Jeffrey S. Havrilla, Mindi J. McDowell, Shawn V. Hernan and Jason A. Rafail ------------------------------------------------------------------------ El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el apoyo en la elaboración, revisión y traducción de éste boletín a: * José Inés Gervacio Gervacio (jgervacio en seguridad unam mx) * Sergio Alavez Miguel (salavez en seguridad unam mx) * Rubén Aquino Luna (raquino en seguridad unam mx) ------------------------------------------------------------------------ INFORMACIÓN ============ Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2004-01.html La versión en español del documento se encuentra disponible en: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-01.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQAWttHAvLUtwgRsVAQHNOQgArMbz2Jzf4Wms+Sw/VEdzfgM1QdKE6c16 RV9J5hGXyUdXzwemcqfKVt3++RxbKopKRbwrK8F/BMrORGtJ0PnJublofBOdDZ5f ZZYxyxTwer3n3wYsI4f2xozEi+HcVnh5XN28+zpWSUw46zG+BVt2CyAdR540gZwe BHhtjAspw3MbmRE+VSMFibCO5eG7UuNRfFNKlJsZDkJvjy9ihz8UaJi2ZqKQSABH tuXjpThXoXw5O/SSXTZbTKhU+nQcK0rIkG+zSK2tVBcSkwSw7uriVpGWy9V16LV9 +x+nyuEmtkusbGxSYBw11EaeUU83KxESod/bzC3WHeys1E3zyKozjA== =5iJd -----END PGP SIGNATURE----- -- Lista de soporte de LinuxPPP Dirección email: Linux en linuxppp com Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux Reglas de la lista: http://linuxppp.net/reglas.html