[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-016
Buffer Overflow en servicio RPC de Microsoft
------------------------------------------------------------------------
El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual se informa de la existencia de una vulnerabilidad en la
implementación de las llamadas de procedimientos de forma remota
mejor conocidos como servicios RPC. A través de la explotación de
esta vulnerabilidad un intruso podrá ejecutar código arbitrario en
los equipos o provocar un ataque de negación de servicio.
Fecha de Liberación: 17 de Julio de 2003
Ultima Revisión: ------------------
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes,foros de
discusion, grupos de noticias.
SISTEMAS AFECTADOS
------------------
* Windows NT 4.0
* Windows NT 4.0 and 4.0 Terminal Server Edition (TSE)
* Windows 2000
* Windows XP
* Windows Server 2003
DESCRIPCIÓN
-----------
Existe una vulnerabilidad en la implementación de la aplicación de
Procedimientos remotos mejor conocidos como RPC en los sistemas
Windows. De acuerdo con el boletín de Seguridad de Microsoft
MS03-026 Existe una vulnerabilidad al momento que los servicios RPC
intercambian mensajes sobre el protocolo TCP/IP. Dicha falla es
resultado del manejo de mensajes mal formados. Esta vulnerabilidad
en particular afecta a la interfaz del componente de Modelo de
Objetos Distribuidos conocido como(DCOM) con el RPC, el cual escucha
peticiones por el puerto TCP/IP 135. Esta interfaz maneja las
peticiones activación de objetos que son enviadas por las maquinas
clientes(tales como las direcciones Universal Naming Convention
(UNC)) al servidor.
Se encuentra disponible información adicional en el boletín
VU#568148 <http://www.kb.cert.org/vuls/id/568148> del CERT/CC. La
referencia del CVE a esta vulnerabilidad es CAN-2003-0352
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0352>
IMPACTO
-------
Un intruso podrá explotar esta vulnerabilidad a través de la
ejecución de código arbitrario con privilegios locales del sistema o
causar una negación de servicio
SOLUCIÓN
--------
* Aplicar los Parches
Aplique el parche apropiado según lo especificado por el boletín de
Seguridad de Microsoft MS03-026.
* Restringir Acceso
Otra de las opciones a considerar es restringir el acceso del
exterior a tu perímetro de red, a través del bloqueo de accesos al
puerto 135/TCP. Esto limitara y disminuirá las probabilidades de
exposición de forma remota al ataque. Sin embargo, bloquear esta
aplicación a nivel de perímetro de red le permitirá aun a los
intrusos dentro de tu red explotar la vulnerabilidad. Es importante
entender las configuraciones de red en los equipos, así como los
requerimientos y servicios antes de que los cambios sean llevados a
cabo.
APÉNDICE A. Información del Fabricante
--------------------------------------
Este apéndice contiene la información proporcionada por los
fabricantes. Cuando los fabricantes divulgen nueva información, esta
sección sera actualizada y los cambios serán registrados en la
bitacora de la revisión. Si un fabricante no se encuentra en la
lista abajo descrita, es debido a que no no hemos recibido sus
comentarios.
* Microsoft
Vea por favor el boletin de seguridad MS0S-026 de Microsoft.
APÉNDICE B. Referencias.
------------------------
Nota VU#568148 del CERT/CC
http://www.kb.cert.org/vuls/id/568148
Boletin de Seguridad de Microsoft MS03-026
http://microsoft.com/technet/security/bulletin/MS03-026.asp
Esta vulnerabilidad fue dada a conocer por el Grupo de Investigación
The Last Stage.
------------------------------------------------------------------------
Autor version original: Ian A. Finlay
El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo
en la elaboracion, revision y traduccion de este boletin a:
* Juan Carlos Guel Lopez(cguel en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
-----------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.cert.org/advisories/CA-2003-16.html
http://www.seguridad.unam.mx (Espan~ol)
http://www.unam-cert.unam.mx (Espan~ol)
Para mayor informacion acerca de esta nota de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPxZjTXAvLUtwgRsVAQH9IAf/arBL+PK+P3SVleIcGN+HR6PXeUlJ4QGh
UKBz9lDm0EWejDDInZ1x/04VLcCdeKyTrNtTt41zgVzK+zfFLdBpRPeLA5ke16wj
Bf9VgO9en22TB+BildoLyk2ULF1rMRxCsvcMthPVU/NgnciWYK9U6IERMJFSH+Up
NGQS12OeSj4+ScvdKNxeilgRyvZjsQRygG37NInU0Dh8wS5J3C1KYwqizEGnKDAi
DXK5GBDXm7yHytAOwlA5sGtPmByR0pCtxdVEslV8/94GfP+7nyUgMFfCRP3Q+6tF
WSDG1DTncZkVnVPHIG58E9LaAa7d4Bh3+lECs07Qj0sMXtpOe2ZQ7A==
=YrqK
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html