[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletin de Seguridad UNAM-CERT 2003-016 Buffer Overflow en servicio RPC de Microsoft ------------------------------------------------------------------------ El *CERT/UNAM-CERT*, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual se informa de la existencia de una vulnerabilidad en la implementación de las llamadas de procedimientos de forma remota mejor conocidos como servicios RPC. A través de la explotación de esta vulnerabilidad un intruso podrá ejecutar código arbitrario en los equipos o provocar un ataque de negación de servicio. Fecha de Liberación: 17 de Julio de 2003 Ultima Revisión: ------------------ Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes,foros de discusion, grupos de noticias. SISTEMAS AFECTADOS ------------------ * Windows NT 4.0 * Windows NT 4.0 and 4.0 Terminal Server Edition (TSE) * Windows 2000 * Windows XP * Windows Server 2003 DESCRIPCIÓN ----------- Existe una vulnerabilidad en la implementación de la aplicación de Procedimientos remotos mejor conocidos como RPC en los sistemas Windows. De acuerdo con el boletín de Seguridad de Microsoft MS03-026 Existe una vulnerabilidad al momento que los servicios RPC intercambian mensajes sobre el protocolo TCP/IP. Dicha falla es resultado del manejo de mensajes mal formados. Esta vulnerabilidad en particular afecta a la interfaz del componente de Modelo de Objetos Distribuidos conocido como(DCOM) con el RPC, el cual escucha peticiones por el puerto TCP/IP 135. Esta interfaz maneja las peticiones activación de objetos que son enviadas por las maquinas clientes(tales como las direcciones Universal Naming Convention (UNC)) al servidor. Se encuentra disponible información adicional en el boletín VU#568148 <http://www.kb.cert.org/vuls/id/568148> del CERT/CC. La referencia del CVE a esta vulnerabilidad es CAN-2003-0352 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0352> IMPACTO ------- Un intruso podrá explotar esta vulnerabilidad a través de la ejecución de código arbitrario con privilegios locales del sistema o causar una negación de servicio SOLUCIÓN -------- * Aplicar los Parches Aplique el parche apropiado según lo especificado por el boletín de Seguridad de Microsoft MS03-026. * Restringir Acceso Otra de las opciones a considerar es restringir el acceso del exterior a tu perímetro de red, a través del bloqueo de accesos al puerto 135/TCP. Esto limitara y disminuirá las probabilidades de exposición de forma remota al ataque. Sin embargo, bloquear esta aplicación a nivel de perímetro de red le permitirá aun a los intrusos dentro de tu red explotar la vulnerabilidad. Es importante entender las configuraciones de red en los equipos, así como los requerimientos y servicios antes de que los cambios sean llevados a cabo. APÉNDICE A. Información del Fabricante -------------------------------------- Este apéndice contiene la información proporcionada por los fabricantes. Cuando los fabricantes divulgen nueva información, esta sección sera actualizada y los cambios serán registrados en la bitacora de la revisión. Si un fabricante no se encuentra en la lista abajo descrita, es debido a que no no hemos recibido sus comentarios. * Microsoft Vea por favor el boletin de seguridad MS0S-026 de Microsoft. APÉNDICE B. Referencias. ------------------------ Nota VU#568148 del CERT/CC http://www.kb.cert.org/vuls/id/568148 Boletin de Seguridad de Microsoft MS03-026 http://microsoft.com/technet/security/bulletin/MS03-026.asp Esta vulnerabilidad fue dada a conocer por el Grupo de Investigación The Last Stage. ------------------------------------------------------------------------ Autor version original: Ian A. Finlay El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboracion, revision y traduccion de este boletin a: * Juan Carlos Guel Lopez(cguel en seguridad unam mx) ------------------------------------------------------------------------ INFORMACIÓN ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.cert.org/advisories/CA-2003-16.html http://www.seguridad.unam.mx (Espan~ol) http://www.unam-cert.unam.mx (Espan~ol) Para mayor informacion acerca de esta nota de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBPxZjTXAvLUtwgRsVAQH9IAf/arBL+PK+P3SVleIcGN+HR6PXeUlJ4QGh UKBz9lDm0EWejDDInZ1x/04VLcCdeKyTrNtTt41zgVzK+zfFLdBpRPeLA5ke16wj Bf9VgO9en22TB+BildoLyk2ULF1rMRxCsvcMthPVU/NgnciWYK9U6IERMJFSH+Up NGQS12OeSj4+ScvdKNxeilgRyvZjsQRygG37NInU0Dh8wS5J3C1KYwqizEGnKDAi DXK5GBDXm7yHytAOwlA5sGtPmByR0pCtxdVEslV8/94GfP+7nyUgMFfCRP3Q+6tF WSDG1DTncZkVnVPHIG58E9LaAa7d4Bh3+lECs07Qj0sMXtpOe2ZQ7A== =YrqK -----END PGP SIGNATURE----- -- Lista de soporte de LinuxPPP Dirección email: Linux en linuxppp com Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux Reglas de la lista: http://linuxppp.net/reglas.html