Vulnerabilidades

El archivo modules/luksbootkeyfile/main.py en Calamares hasta la versión 3.2.4, presenta una condición de carrera entre el momento en que el archivo de clave cifrada LUKS es creado y cuando se establecen permisos seguros.

Calamares hasta la versión 3.2.4, copia un archivo de clave cifrada LUKS desde /crypto_keyfile.bin (modo 0600 propiedad de root) hacia /boot dentro de una imagen initramfs legible globalmente con permisos no seguros, lo que permite que este archivo protegido originalmente pueda ser leído por cualquier usuario, de este modo revelando claves de descifrado para contenedores LUKS creados con Cifrado de Disco Completo.

El archivo verification.py en django-rest-registration (también conocida como biblioteca de registro REST de Django) anterior a la versión 0.5.0 consiste en una cadena estática para firmas (es decir, la API de firma de Django es usada inapropiadamente), lo que permite a los atacantes remotos suplantar el proceso de comprobación. Esto ocurre porque la refactorización del código incorrecta conllevó a llamar a una función crítica de seguridad con un argumento incorrecto.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4 y 12.1.0-12.1.4, el tráfico no revelado enviado hacia el servidor virtual iSession de BIG-IP puede causar el Microkernel de Gestión de Trafico (TMM) se reinicie, lo que resulta en una denegación de servicio (DoS).

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, 11.6.1-11.6.3.4, y 11.5.2-11.5.8 y BIG-IQ versiones 7.0.0-7.1.0.2, 6.0.0-6.1.0, y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos por parte de un usuario administrador o un usuario administrador de recursos. Este problema afecta tanto a iControl REST como a las implementaciones tmsh.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.5, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, y 11.5.1-11.6.4, un iControl REST worker no revelado es vulnerable a la inyección de comandos por parte de un usuario administrador o un usuario administrador de recursos. Este ataque solo es explotable en sistemas de múltiples afiliados.

En FreeBSD versión 12.0-STABLE anterior a r349197 y versión 12.0-RELEASE anterior a 12.0-RELEASE-p6, un bug en la pila de RACK TCP no predeterminada puede permitir a un atacante causar que varias listas vinculadas crezcan sin límites y causar un salto de lista costoso en cada paquete procesado, lo que conlleva al agotamiento de los recursos y una denegación de servicio.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.5, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, y 11.5.1-11.6.4 y BIG-IQ versiones 6.0. 0-6.1.0 y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos para un usuario Administrador.

En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4 y 12.1.0-12.1.4, un patrón de tráfico no revelado enviado hacia un servidor virtual BIG-IP UDP puede conllevar a una denegación de servicio (DoS).

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo presenta un binario personalizado llamado mp4ts en la carpeta /var/www/video. Al parecer este binario vuelca el VERB HTTP en los registros del sistema. Como parte de ello, recupera el VERB HTTP enviado por el usuario y usa una función sprintf vulnerable en la dirección 0x0000C3D4 en la función sub_C210 para copiar el valor en una cadena y luego en un archivo de registro. Dado que no se realiza ninguna comprobación de límites en la variable de entorno en la dirección 0x0000C360, esto resulta en un desbordamiento de pila y sobrescribe el registro PC, lo que permite a un atacante ejecutar un desbordamiento de búfer o incluso un ataque de inyección de comando.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo ejecuta un demonio personalizado en el puerto UDP 5978 que es llamado "dldps2121" y escucha los paquetes de difusión enviados en 255.255.255.255. Este demonio maneja el protocolo basado en UDP D-Link personalizado, que permite a las aplicaciones móviles D-Link y a las aplicaciones de escritorio detectar dispositivos D-Link en la red local. El binario procesa los paquetes UDP recibidos enviados desde cualquier dispositivo en la función "main". Una ruta (path) en la función se dirige hacia un bloque de código que maneja los comandos que se ejecutarán en el dispositivo. El protocolo personalizado creado por D-Link sigue el siguiente patrón: Paquete, Tipo de paquete; M=dirección MAC del dispositivo o transmisión; D=Tipo de dispositivo; C=cadena de comando codificada en base64; prueba=1111. Si un paquete es recibido con el tipo de paquete "S" o 0x53, la cadena pasada en el parámetro "C" se descodifica en base64 y luego se ejecuta pasando a una API del Sistema. Podemos ver en la dirección 0x00009B44 que la cadena recibida en el tipo de paquete sustracción 0x31 o "1" del tipo de paquete y se compara con 0x22 o "double quotes". Si este es el caso, entonces el paquete se envía hacia el bloque de código que ejecuta un comando. Luego, el valor almacenado en el parámetro "C" se extrae en la dirección 0x0000A1B0. Finalmente, la cadena recibida se descodifica en base 64 y se transmite a la API del sistema en la dirección 0x0000A2A8 como se muestra a continuación. La misma forma de comunicación puede ser inicializada mediante cualquier proceso, incluido un proceso de atacante en el teléfono móvil o en el escritorio, y esto permite que una aplicación de terceros en el dispositivo ejecute comandos en el dispositivo sin alguna autenticación por medio del envío de solo 1 paquete UDP con codificación base64 personalizada.

Se detectó un problema en los dispositivos DCS-1100 y DCS-1130 de D-Link. El dispositivo presenta un demonio telnet personalizado como parte de la busybox y recupera la contraseña del archivo instantáneo utilizando la función getspnam en la dirección 0x00053894. Luego realiza una operación de cifrado en la contraseña recuperada del usuario en la dirección 0x000538E0 y realiza un strcmp en la dirección 0x00053908 para comprobar si la contraseña es correcta o incorrecta. Sin embargo, el archivo /etc/shadow es una parte del sistema de archivos CRAM-FS, lo que quiere decir que el usuario no puede cambiar la contraseña y, por lo tanto, se utiliza un hash codificado en /etc/shadow para que coincida con las credenciales suministradas por el usuario. Este es un hash con sal de la cadena "admin" y, por lo tanto, actúa como una contraseña para el dispositivo que no se puede cambiar debido a que todo el sistema de archivos es de solo lectura.