Mostrando las entradas para la consulta Heartbleed ordenadas por relevancia. Ordenar por fecha Mostrar todas las entradas
Mostrando las entradas para la consulta Heartbleed ordenadas por relevancia. Ordenar por fecha Mostrar todas las entradas

Zimbra, Heartbleed - OpenSSL patch

Como bien sabéis, recientemente se descubrió un grave fallo de seguridad en el paquete OpenSSL que dejó más que en entredicho la seguridad de la mayoría de los lugares que se suponían seguros en Internet. El protocolo https, que hasta ahora se garantizaba seguro, ya no lo era. Por suerte, el software libre se mueve de prisa y no se tardó mucho en sacar un parche que corregía dicha vulnerabilidad.
Estos días, lo que nos tocó a la gente de sistemas fue realizar un update masivo del paquete OpenSSL. Por suerte, herramientas como Salt Stack y Puppet ayudan a llevarlo mejor ;-)
Hoy vamos a ver cómo parchear una instalación de Zimbra que esté afectada. Zimbra, trae en su instalación las librerías OpenSSL propias, no la del sistema base, y es por ello que es necesario aplicar el parche del fabricante y no actualizar el paquete del sistema. Por suerte, el Zimbra deja a nuestra disposición (aquí el link) un parche para descargar y aplicar al equipo. Así que la forma de hacerlo es sencilla.
Lo primero es descargarnos el script que se encarga de aplicar el parche y darle permisos de ejecución.
shell> wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
shell> chmod +x zmopenssl-updater.sh
A continuación, lo ejecutamos como root. Con ello se descargará el parche real de OpenSSL y lo aplicará a nuestra instalación de Zimbra.
shell> ./zmopenssl-updater.sh
  Downloading patched openssl
  Validating patched openssl: success
  Backing up old openssl: complete
  Installing patched openssl: complete
  OpenSSL patch process complete.
  Please restart Zimbra Collaboration Suite as the Zimbra user
Al finalizar nos informa de que hay que reiniciar el servicio para que los cambios tenga efecto. Lo hacemos.
shell> su - zimbra
zimbra@shell> zmcontrol restart
Y comprobamos que todo quede correctamente funcionando y no haya problema ninguno.
zimbra@shell> zmcontrol status
Host zimbra.localhost
 antispam                Running
 antivirus               Running
 ldap                    Running
 logger                  Running
 mailbox                 Running
 mta                     Running
 opendkim                Running
 snmp                    Running
 spell                   Running
 stats                   Running
 zmconfigd               Running

Referencias:
Leer más

Ghost in Linux (CVE-2015-0235)

Investigadores de la empresa Qualys han reportada una grave vulnerabilidad en la librería glibc
(biblioteca C de GNU Linux), que permite obtener un acceso no lícito al sistema sin la necesidad de usuario y contraseña.
Dicha vulnerabilidad ya está reportada y se ha identificado como CVE-2015-0235 y afecta a la mayoría de los sistemas ya que lleva 14 años ahí. Afecta a todos aquellos sistemas que tenga glibc-2.2 instalado, liberado en el año 2000! En mucho sitios ya comparan esta vulnerabilidad a heartbleed, que también movió cielo y tierra en su momento.
Las principales distribuciones GNU/Linux ya fueron notificadas de este bug antes de que se publicase, y ya hay parches al respecto para ellas.

Bug y explicación

Este fallo de seguridad afecta a la función gethostbyname, presente en glibc. Dicha función es usada en casi todos los sistemas Linux cuando se intenta acceder a otro equipo conectado en red. O dicho de otra forma, cuando se intenta resolver un nombre de dominio vía DNS.
El fallo se puede aprovechar si el atacante provoca un desbordamiento de buffer al usar un argumento hostname no válido. Es ahí cuando se permite ejecutar código arbitrario y con los permisos del usuario que está ejecutando DNS.
Qualys creó una prueba de concepto sobre un servidor Exim al enviarle un comando SMTP inválido. Un simple correo electrónico mal intencionado permite abrir una shell remota en el sistema.

Solución

Aplicar las actualizaciones de seguridad de los sistemas y reiniciar.

Más información




Leer más

SSL suma y sigue: Poodle

Este año 2014 va a ser para recordar en la historia de la seguridad informática, sin dudarlo. SSL (heartbleed), bash (CVE-2014-6271 y CVE-2014-7169), y ahora nuevamente el protocolo SSL vuelve a ser noticia con una vulnerabilidad crítica que afecta, por lo que parece, al diseño del protocolo SSL 3.0. El código de fallo es el CVE-2014-3566 y está ahí pues más o menos desde hace 15 años que vio la luz.
El problema está en que a día de hoy la mayoría de los navegadores todavía le dan soporte y por lo tanto son vulnerables. El fallo se puede explotar en un ataque MitM (man-in-the-middle) en el que se fuerce al cliente a emplear el protocolo 3 para así acceder a los datos sin cifrar aunque la sesión esté cifrada.
La solución pasa por deshabilitar el soporte de SSL 3.0 o usar cifrados CBC-mode para dicha versión. El problema de esto no son los navegadores en sí, sino el resto de programas que pueden no tener estas compatibilidades.
Otra de las soluciones recomendadas es habilitar TLS_FALLBACK_SCSV, un mecanismo que soluciona los problemas causados por reintentar conexiones fallidas, previniendo que los atacantes puedan 'obligar' a los navegadores a usar SSL 3.0.

Más información:

Leer más

Seguridad ante todo

En el mundo de la seguridad informática, tomarse los problemas con una sonrisa es una buena filosofía. Os dejo aquí la viñeta de Linux Hispano que ilustra esto perfectamente. Además, que hoy es viernes!
La solución más sencilla a heartbleed
Leer más

Metasploit: Could not find rake-10.1.0 in any of the sources

Tras un tiempo sin jugar con Metasploit, este fin de semana lo volví a arrancar puesto que durante toda esta semana, el tema de la seguridad estuvo ajetreado. Ya sabéis, OpenSSL y Heartbleed.
Tras observar un poco los últimos cambios en los módulos de Metasploit, rápidamente me di cuenta de que ya había un módulo para escanear un dominio, ip o rango de ips y saber si era o no vulnerable. Así que en vez de partir del script básico que tenía a mano, decidí tirar de Metasploit, que sirve precisamente para eso, auditoría más cómoda.
Cuando me dispuse a arrancar la consola, tras realizar un git pull, me salta el siguiente error.
shell> msfconsole 
Could not find rake-10.1.0 in any of the sources
Run `bundle install` to install missing gems.
No puedo arrancar la consola y me dice 'algo' de que está fallando la versión de rake, que no la puede encontrar. Lógicamente en la actualización de los paquetes (hice un git pull) se actualizó la versión del software que estaba empleando y en el sistema no la había actualizado. Por suerte, el mismo error dice cual es la solución.
shell> bundle install
Fetching gem metadata from https://rubygems.org/.........
Fetching gem metadata from https://rubygems.org/..
Installing rake (10.1.0) 
Installing i18n (0.6.5) 
Using multi_json (1.0.4) 
Installing activesupport (3.2.14) 
Using builder (3.0.4) 
Installing activemodel (3.2.14) 
Using arel (3.0.2) 
Using tzinfo (0.3.37) 
Installing activerecord (3.2.14) 
Installing bcrypt-ruby (3.1.2) 
Installing database_cleaner (1.1.1) 
Installing diff-lcs (1.2.4) 
Using factory_girl (4.2.0) 
Installing fivemat (1.2.1) 
Installing json (1.8.0) 
Installing pg (0.16.0) 
Installing metasploit_data_models (0.17.0) 
Installing mini_portile (0.5.1) 
Installing msgpack (0.5.5) 
Installing network_interface (0.0.1) 
Installing nokogiri (1.6.0) 
Installing packetfu (1.1.9) 
Using pcaprub (0.11.3) 
Installing redcarpet (3.0.0) 
Installing rkelly-remix (0.0.6) 
Using robots (0.10.1) 
Installing rspec-core (2.14.5) 
Installing rspec-expectations (2.14.2) 
Installing rspec-mocks (2.14.3) 
Installing rspec (2.14.1) 
Installing shoulda-matchers (2.3.0) 
Using simplecov-html (0.5.3) 
Using simplecov (0.5.4) 
Installing timecop (0.6.3) 
Installing yard (0.8.7) 
Using bundler (1.3.5) 
Your bundle is complete!
Use `bundle show [gemname]` to see where a bundled gem is installed.
Esto tardó un poco entre que descarga paquetes y los instala. Al finalizar Metasploit ya arranca perfectamente. El susto duró menos de 5 minutos. A trabajar!
Leer más

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios