Este viernes los servidores de la fundación Apache presentaron durante unas cuantas horas una escueta página informando que se encontraban investigando un incidente en sus servidores.

Aclaraban que no se trataba de un exploit que afectase al popular servidor web, producto de la propia fundación, sino de una llave SSH comprometida.

La llave en cuestión permitía el acceso a una cuenta para efectuar copias de respaldo automáticas del sitio web “ApacheCon”, en una máquina situada en un alojamiento externo a la fundación. Dicha máquina fue usada para subir archivos a un servidor de su infraestructura, denominado minotaur.apache.org, con funciones notables, como proveer de cuentas para los “comitters” -cuentas con acceso de escritura a los repositorios de código- y de entrada a los distintos sitios web de la fundación Apache.

Según las primeras investigaciones, fueron creados varios archivos dentro del dominio “www.apache.org“, incluyendo varios scripts CGI, que fueron usados para sincronizar dichos archivos con varios servidores en producción e inyectar procesos en los servicios web funcionales.

Tras detectar los procesos que inyectaron los atacantes procedieron a detener los sistemas afectados, de esta manera, por algunos instantes, no se podía acceder a ninguno de los sitios web de Apache, hasta que se procedió a cambiar los DNS hacia una máquina no afectada para mostrar un mensaje informativo indicando la situación en la que se encontraban.

Después de asegurarse de que la infraestructura que la fundación posee en Europa no estaba afectada -los atacantes llegaron a subir los archivos pero no fueron ejecutados-, usaron las copias de respaldo no comprometidas para restaurar los servicios en lo posible, permaneciendo gran parte de su infraestructura detenida para evaluar los daños causados por los atacantes.

Aunque, según Apache, no tienen conocimiento de usuarios finales afectados, ni de que las descargas fueran afectadas, enfatizan efectuar la verificación de la firma digital de los archivos.

Fuente:Noticias Hispasec

Sun ha confirmado una vulnerabilidad de denegación de servicio en el servicio de impresión de Solaris 8 y 9.

El problema reside en in.lpd(1M) y podrá ser empleado por un atacante local o remoto sin privilegios para provocar un enlentecimiento del sistema y que deje de responder.

Según versión y plataforma, se recomienda instalar los siguientes

parches:

Para plataforma SPARC:

Solaris 8 instalar el parche 109320-23 o superior disponible desde http://sunsolve.sun.com/pdownload.do?target=109320-23&method=h

Solaris 9 instalar el parche 113329-07 o superior disponible desde http://sunsolve.sun.com/pdownload.do?target=113329-07&method=h

Para plataforma x86:

Solaris 8 instalar el parche 109321-23 o superior disponible desde http://sunsolve.sun.com/pdownload.do?target=109321-23&method=h

Solaris 9 instalar el parche 114980-09 o superior disponible desde http://sunsolve.sun.com/pdownload.do?target=114980-09&method=h

Fuente:Noticias Hispasec

Debian ha publicado una actualización del kernel 2.6 que corrige múltiples fallos de seguridad que podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible.

Los problemas corregidos son:

Un error en la función “udp_sendmsg” cuando se usa la bandera “MSG_MORE”

en sockets UDP. Un atacante local sin privilegios podría causar una denegación de servicio o elevar privilegios a través de vectores no especificados.

Un segundo problema reside en una falta de validación de argumentos en el driver eisa-eeprom para la arquitectura hppa. Esto podría permitir a un atacante local obtener información sensible.

Existe un error en el tratamiento de bytes de alineamiento en la función “do_sigaltstack” en sistemas 64 bits. Esto podría ser empleado por un atacante local para obtener información sensible.

Otro problema se presenta al liberar el puntero “current->clear_child_tid” en la función “execre”. Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas al sistema especialmente manipuladas.

Por ultimo, un error de referencia a puntero nulo en el driver md de “drivers/md/md.c”. Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas especialmente manipuladas a ciertas funciones de la familia “suspend_*”.

Se recomienda actualizar a través de las herramientas automáticas apt-get.

Fuente:Noticias Hispasec