Apache MyFaces information disclosure vulnerability

Olá pessoal,
     Existe uma lista que participo há muito tempo e que é bem conhecida no mundo da “segurança da informação”, estou falando do http://www.securityfocus.com/. Recentemente fiquei surpreso ao receber em minha caixa postal a notícia de que encontraram uma “Senhora Falha” na implementação JSF  “MyFaces”, pois bem, encontrar falhas é super normal e dica-se de passagem, todo software tem, não é mesmo ?
     O que me assustou na verdade foi o perigo dessa, pra quem estudou JEE, sabe que o arquivo web.xml deve ficar oculto para o usuário, agora imagine adicionar alguns argumentos a “query string” e voilá, o conteudo deste arquivo vem todinho no response http.
     Esse tipo de falha que fornece informações sobre o ambiente em que o software opera é um prato cheio para outras “brechas”, sendo assim, vamos tomar cuidado, ok ?
    Logo abaixo detalhes desta falha, que entra em uma categoria conhecida como disclosure.

—————————————————————————————————-
Apache MyFaces information disclosure vulnerability

Severity: Important

Vendor: The Apache Software Foundation

Versions Affected:
          MyFaces Core 2.0.1 to 2.0.11
          MyFaces Core 2.1.0 to 2.1.5
          Earlier versions are not affected

Description:

MyFaces JavaServer Faces (JSF) allows relative paths in the
javax.faces.resource ‘ln’ parameter or writing the url so the resource
name include ‘..’ sequences . An attacker could use the security
vulnerability to view files that they should not be able to.

Mitigation:

Users of affected versions should apply one of the following mitigations:
MyFaces Core 2.0.x users should update to 2.0.12
MyFaces Core 2.1.x users should update to 2.1.6

Example:

In linux or similar systems:

http://:/<cont

ext-root>/faces/javax.faces.resource/web.xml?ln=../WEB-INF
http://:/<context-root>/faces/javax.faces.resource/../WEB-INF/web.xml

or in windows systems:

http://:/&lt;context-root>/faces/javax.faces.resource/web.xml?ln=..\\WEB-INF
http://:/<context-root>/faces/javax.faces.resource/..\\WEB-INF/web.xml

The ‘ln’ parameter should not allow a relative path. In the above example
the contents of the web.xml are displayed in the response to the attacker.
The part of the url that derive the resource name should not allow ‘..’ as
valid char sequence.

Credit: Issue reported by Paul Nicolucci thanks to the security team at IBM

References:

—————————————————————————————————-</cont</cont

Abrcs.
Natanael Fonseca

HoneyComb e Android Market

Olá pessoal,


      Recentemente tive a oportunidade de ter em minhas mãos um Samsung Galaxy Tab 10.1, foi através deste dispositivo que andei dando uma “fuçada” no Android Market e na plataforma Android “HoneyComb”,  pois bem,  neste post pretendo comentar um pouco sobre a minha experiência com este tabblet e como foi esse pequeno encontro de 30 dias ;).
      Pra começar, me decepcionei um pouco com a tela,  acho que pra quem está acostumado com o Ipad, sente-se de forma brutal esta diferença, fica a dica para os fanátivos em tecnologia, se for comprar “Cuidado com  a tela”.
     O processador dual core me deixou impressionado, fiz alguns programinhas em android e pude perceber que ele realmente da conta do recado em varios aspectos, outra coisa que me chamou a atenção foi  quantidade de programas(widgets) que vem predefinidos neste dispositivo, chega a ser um transtorno arrastar e retirar aquele monte de ícone que fica espalhado nas diversas áreas de trabalho.
      Mas estava tudo indo muito bem, muito bem, quando pensei, que tal entrar na AndroidMarket e baixar alguns programinhas para tabblet ? Ai que morou o grande problema, praticamente é irrisório a quantidade de apps para o HoneyComb, o mais triste foi verificar que até as aplicações mais baixadas, tais como: Facebook, Google Plus possuem uma interface pobre e pouco adaptada, chega a ser como colocar a roda de um fusca em um caminhão da volks……. Fica Sobrando Espaço demaisss !
      Senão bastasse isso, outra coisa que me preocupou foi perceber que existem muitos anti-vírus pra baixar na Android Market, seria algum sinal negativo ?  Suspeita confirmada, quando resolvi procurar pelas falhas de segurança no Android……….. nuoooooooossssaaaaa !  Tem demaisss heinnnn…
      Ao meu ver, a grande questão é a quantidade e liberdade dadas aos desenvolvedores para esta plataforma, qualquer um que conheça Java e tenha um dispositivo, consegue rapidamente fazer um programinha e rodar “de boa”. Fato que não acontece na “maçã”, afinal, você precisa pagar por uma assinatura de desenvolvedor para poder realizar o teste no seu iphone/ipad ;(.
      Mas parece que a coisa está mudando, a gigante google resolveu criar um serviço chamado “Bouncer” que parece ser uma arma para esse monte de falha de segurança.
         Este serviço parece ser realmente fantástico, logo abaixo, transcrevo alguns trechos do texto escrito pelo Hiroshi Lockheimer, VP of Engineering, Android.
“O ano passado foi fenomenal para o ecossistema Android. O número de dispositivos cresceu 250% ano-a-ano, e o número total de downloads de aplicativos do Android Market superou 11 bilhões. Como a plataforma continua a crescer, estamos focados em trazer-lhe os melhores novos recursos e inovações, incluindo em matéria de segurança.

Adicionando uma nova camada ao Android segurança
Hoje estamos revelando um serviço que nós desenvolvemos, codinome Bouncer, que prevê a digitalização automatizada do Android Market para software potencialmente malicioso sem interromper a experiência do usuário do Android Market ou exigindo que os desenvolvedores de passar por um processo de aprovação de aplicativos.
O serviço realiza um conjunto de análises sobre novas aplicações, aplicações já no Android Market, e as contas do desenvolvedor. Eis como funciona: quando um aplicativo é carregado, o serviço começa imediatamente a analisá-lo  a procura de algum malware, spyware e ou trojans. Ele também procura por comportamentos que indicam um aplicativo pode ser mal-intencionado, e o compara com aplicativos previamente analisados ​​para detectar possíveis bandeiras vermelhas. Nós realmente executamos todas as aplicações em infra-estrutura de nuvem do Google e simular como ele será executado em um dispositivo Android a olhar para o comportamento oculto, malicioso. Analisamos também as contas de desenvolvedores para ajudar a prevenir novos desenvolvedores mal-intencionados.


Android faz com que o malware se torne menos potente 
   Algumas das características de segurança do Android são:

    Sandboxing: A plataforma Android usa uma técnica chamada “área de segurança” para pôr paredes virtuais entre aplicações e outro software no dispositivo. Então, se você baixar um aplicativo malicioso, ele não pode acessar dados sobre outras partes do seu telefone e seu dano potencial é drasticamente limitado.
    
Permissões: Android fornece um sistema de permissão para ajudar você a entender as capacidades dos aplicativos que você instala e gerencia suas próprias preferências. Dessa forma, se você ver um jogo desnecessariamente pede permissão para enviar SMS, por exemplo, você não precisa instalá-lo.
    
Remoção de malware: Android foi concebido para prevenir que malwares modifiquem a plataforma ou se escondendo de você, por isso, pode ser facilmente removido se o seu aparelho é afetado. Android Market também tem a capacidade de remoção de malware remotamente a partir do seu telefone ou tablet, se necessário.Nenhuma abordagem de segurança é infalível, e escrutínio adicional muitas vezes pode levar a melhorias importantes. Nossos sistemas estão ficando cada vez melhor na detecção e eliminação de malwares a cada dia, e continuamos a convidar a comunidade para trabalhar conosco para manter a segurança Android.”

     Então é isso,  para quem quiser ver o post na integra, basta clicar aqui
     
     Volto por aqui quando tiver mais novidades…


Abrcs
Natanael Fonseca