Programas CGI y extensiones de aplicacion (por ejemplo,
 ColdFusion) instalados en servidores web.
 

Casi todos los servidores web dan soporte a programas CGI (Common Gateway Interface) para ofrecer paginas interactivas, tales como la obtencion y verificacion de datos.  Muchos servidores incluyen diversos programas CGI de ejemplo que se instalan por omision.  Desafortunadamente, algunos programadores de CGIs no han considerado la posibilidad que sus programas pueden ser utilizados  de forma incorrecta o ser enganados para ejecutar mandatos con fines maliciosos. Los CGIs vulnerables son un blanco particularmente atractivo para los intrusos ya que son relativamente faciles de localizar y funcionan con los mismos privilegios y poder que el software del servidor web.

Se sabe que los intrusos se han aprovechado de CGIs vulnerables para modificar paginas web, robar informacion de tarjetas de credito e instalar puertas traseras para posteriores intrusiones, incluso en el momento en que los CGIs ya han sido protegidos.  Cuando la foto de Janet Reno fue sustituida por la de Adolph Hitler, un informe interno concluyo que la causa mas probable para el ataque fue la utilizacion de un agujero de seguridad en un programa CGI.

ColdFusion de Allaire es un paquete de aplicaciones para servidores web que instala algunos programas de ejemplo con vulnerabilidades.  Como norma general, los programas de ejemplo deben ser siempre eliminados de los sistemas de produccion.

Sistemas afectados
Todos los servidores web  

Registros CVE:

• Programas CGI de ejemplo (todos los CGIs)
  Remedio:
  Eliminar los programas CGI de ejemplo en los servidores de produccion.
   
• CAN-1999-0736
  (Internet Information Server 4.0, Microsoft Site Server 3.0 --que se incluye en el Microsoft Site Server 3.0 Commerce Edition--, Microsoft Commercial Internet Server 2.0 y Microsoft BackOffice Server 4.0 y 4.5)
  consultar http://www.microsoft.com/technet/security/bulletin/ms99-013.asp
  
  Remedio:
  Aplicar el parche disponible en
  ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/
  
   
• CVE-1999-0067
  Programa de agenda escrito en phf incluido en versiones antiguas de los servidores NCSA y Apache.
   
• CVE-1999-0068
  Script de ejemplo 'mylog.html' incluido en PHP/FI.
   
• CVE-1999-0270
  IRIX 6.2, 6.3 y 6.4
   
• CVE-1999-0346
  Programas de ejemplo incluidos en el paquete PHP/FI.
   
• CVE-2000-0207
  IRIX 6.5
   

Vulnerabilidades de CGIs mas importantes sin incluir los programas de ejemplo:

• CAN-1999-0467
  CGI de Libro de visitas de WebCom.
   
• CAN-1999-0509 (aplicable a todos los servidores)
  Consultar
  http://www.cert.org/advisoires/CA-96.11.interpreters_in_cgi_bin_dir.html
  
  Remedio:
  La solucion a este problema es asegurarse que no se encuentre ninguna copia de los programas interpretes de lenguajes proposito general, como por ejemplo PERL, TCL, shells de Unix (sh, csh, ksh, etc).
   
• CVE-1999-0021
  wwwcount version 2.3
   
• CVE-1999-0039
  Subsistema Outbox de IRIX
   
• CVE-1999-0058
  Paquete PHP/FI.
   
• CVE-1999-0147
  Glimpse HTTP 2.0 y WebGlimpse.
   
• CVE-1999-0148
  Subsistema Outbox de IRIX.
   
• CVE-1999-0149
  Subsistema Outbox de IRIX.
   
• CVE-1999-0174 (aplicable a todos los servidores)
  Consultar http://xforce.iss.net/static/291.php y http://www.netscape.org/cgi-bin/wa?A2=ind9702B&L=bugtraq&P=R64
  
  Remedio:
  Eliminar el script 'view-source' del directorio cgi-bin del servidor web.
   
• CVE-1999-0177
  Website 2.0 de O'Reilly.
   
• CVE-1999-0178
  Website 2.0 de O'Reilly.
   
• CVE-1999-0237
  Libro de visitas de Webcom para servidores web en entorno Win32.
   
• CVE-1999-0262
  Fax Survey para sistemas Linux.
   
• CVE-1999-0279
  Excite for Web Servers.
   
• CVE-1999-0771
  Agente de gestion y utilidad de analisis de Compaq.
   
• CVE-1999-0951
  CGI OmniHTTPd
   
• CVE-2000-0012
  CGI del Microsoft SQL Server.
   
• CVE-2000-0039
  Sistema de busqueda Altavista.
   
• CVE-2000-0208
  htsearch para ht://dig.
   

Vulnerabilidades en los programas de ejemplo de ColdFusion

• CAN-1999-0455
   
• CAN-1999-0922
   
• CAN-1999-0923

Otras vulnerabilidades de ColdFusion

• CAN-1999-0760
   
• CVE-2000-0057

Consejos para la resolucion del problema:

• No ejecutar el servidor web como root
   
• Eliminar los interpretes de scripts para CGIs de los directorios bin: http://www.cert.org/advisories/CA-96.11.interpreters_in_cgi_bin_dir.html
   
• Eliminar los scripts CGI no seguros:
  http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html
  http://www.cert.org/advisories/CA-96.06.cgi_example_code.html
  http://www.cert.org/advisories/CA-97.12.webdist.html
   
• Escribir programas CGI seguros:
  http://www-4.ibm.com/software/developer/library/secure-cgi/
  http://www.cert.org/tech_tips/cgi_metacharacters.html
  http://www.cert.org/advisories/CA-97.24.Count_cgi.html
   
• No configurar el soporte de CGIs en aquellos servidores web que no lo necesiten.
   
• Ejecutar el servidor web en un entorno de directorios chroot para proteger la maquina de posibles ataques todavia no descubiertos.

[Pagina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]

© Copyright The Sans Institute, 2000-2001
© Copyright 2000-2001 de la traduccion, Selesta Seguridad Informatica