sábado, 30 de enero de 2010
Referencias web: PASS
viernes, 29 de enero de 2010
Referencias web: La página del fabricante
miércoles, 27 de enero de 2010
Precauciones en el proceso de instalación. Contramedida
martes, 26 de enero de 2010
Vulnerabilidad en el proceso de instalación
lunes, 25 de enero de 2010
Contramedidas para los fallos al reservar memoria
viernes, 22 de enero de 2010
Vulnerabilidad: Fallos al reservar memoria
jueves, 21 de enero de 2010
Vulnerabilidad: GDI+ (II)
miércoles, 20 de enero de 2010
GDI+: contramedidas
Hay que tener en cuenta que muchos de los procesos de actualización llevan consigo la necesidad de reiniciar el equipo con las consecuencias pertinentes, en este caso, al hablar de bases de datos, con el cese de servicio a los posibles usuarios durante un determinado periodo de tiempo. El aplicaciones críticas esto puede hacer que los administradores tengan que avisar a los usuarios de dicho cese, ya que repercutirá sobre su actividad. La mayoría de las veces se intentan aprovechar momentos de poca o nula utilización del sistema (si existen) para actualizar el sistema sin que los usuarios tengan conocimiento de ello ni el proceso afecte a su trabajo.
En este caso no se especifica si será necesario reiniciar el sistema, aunque se proporciona el código que devolverá la instalación al terminar, lo que hace ver que será preciso hacerlo pero intentando darle poca importancia o desviar la atención sobre el asunto.
Mientras no sea posible aplicar la llamada “actualización de seguridad” sería conveniente tomar una serie de medidas como las que se citan a continuación:
- Deshabilitar el procesamiento de meta-archivos
- Restringir el acceso a “gdiplus.dll”
- Desregistrar “vgx.dll”
- Evitar que IExplorer use el RSClientPrint
- Leer los correos electrónicos en texto plano
- Deshabilitar en IExplorer XAML Browser Applications
- Deshabilitar de forma parcial algunas aplicaciones .NET de confianza
- Evitar la apertura de archivos de Office desconocidos o de fuentes no fiables
Todas estas medidas buscan reducir el impacto de la vulnerabilidad reduciendo su interacción con otros componentes del sistema. Como ya se comentó para la actualización de seguridad, algunos de estos cambios requeriran reiniciar el sistema.
Una vez más, cuando sea posible actualizar el sistema, los cambios deben deshacerse para asegurar su completo funcionamiento. Esta vulnerabilidad explota muchas más alternativas concretas que la vista anteriormente referida al desbordamiento de la pila, recogiendo un abanico de ellas que afectan a un gran número de aplicaciones, de ahí que la importancia que se le da sea mayor y suba su nivel de criticidad.
martes, 19 de enero de 2010
Vulnerabilidad: Interfaz gráfica (GDI+)
La vulnerabilidad se basa en fallos por desbordamientos de diferentes tipos según cómo hayan sido originados, estando la mayoría asociados al manejo de archivos de imágenes. Así, se distinguen una serie de acciones que pueden dar lugar a una ejecución indeseada: validaciones incorrectas dentro de procedimientos vinculados a la interfaz gráfica cuando se ejecutan archivos de imágenes “.WMF”, en la administración de la pila cuando se abre un archivo “.PNG” con la GDI+ por medio o cuando se calcula el tamaño del buffer para trabajar con una imagen de ese tipo, en la asignación del buffer que se asocia a la lectura de archivos “.TIFF”, cuando se tratan dentro de Office imágenes “.BMP” o en último término en la administración de los búferes al realizar llamadas de la API de .NET y la apertura de archivos de Office que incluyan formatos incorrectos.
Sobre la base de datos que aporta CVE se definen unas cuantas entradas relacionadas según las diferentes variantes vistas antes, que se muestran como “Candidatas”, lo que quiere decir que puede ser modificada más adelante y debe aún revisarse. No obstante, en la base de datos de Microsoft sí se le da la importancia que merece por afectar a un amplio abanico de sus aplicaciones.
La peligrosidad de la vulnerabilidad está estrechamente ligada a los efectos que se tratan en vulnerabilidades de desbordamiento de la pila, ya que de las acciones conflictivas tratadas, algunas tienen relación directa con ese problema y otras a otro tipo de desbordamientos como los de enteros, de múltiples enteros o de buffer en general. Otro de los problemas está vinculado a la incapacidad de algunas de las aplicaciones afectadas de manejar correctamente objetos mal formados, algo que debería revisarse en la labor de desarrollo y es más propio de errores de procedimiento asociados a la comprobación de objetos. De este modo un atacante que se aprovechase de esta vulnerabilidad podría llegar a ejecutar determinado código malicioso en la máquina o sistema atacado, siendo tanto más peligroso cuanto mayores resultasen los permisos de ejecución en el sistema del usuario que desemboca o propicia el ataque. A partir de esa ejecución no deseada podrían realizarse acciones como ver archivos, modificarlos o borrarlos, cambio de permisos o instalación de programas dependiendo de esos permisos de usuario que incluso llegasen a hacer que el atacante tomar el control total del sistema.
Si bien hay que recalcar que es una vulnerabilidad que no afecta solamente a SQL Server, mencionar cómo un sistema con esta aplicación instalada puede encontrarse completamente vulnerable a un ataque que se base en estos problemas de la interfaz, que comprometa determinadas bases de datos desprotegidas. Esta vulnerabilidad no afecta a la última versión de SQL Server pero sí a diferentes ediciones de las versiones 2005 y 2000.
lunes, 18 de enero de 2010
Desbordamiento en la pila: contramedidas
La medida principal que asegurará el correcto funcionamiento del sistema dentro de los parámetros de seguridad deseados, será realizar la correspondiente actualización que el fabricante pone a disposición del usuario una vez se ha identificado la vulnerabilidad y se ha logrado desarrollar una actualización. Si se ha detectado el problema pero aún no se dispone de una actualización, o bien si en ese momento no es posible aplicarla, conviene tomar una serie de medidas que aunque no subsanarán el daño, pueden reducir su peligrosidad o por lo menos las posibilidades de explotarlo.
Estas medidas tendrán que ver con cambios en las opciones de configuración, que básicamente tratan de reducir la funcionalidad asociada al procedimiento “sp_replwritetovarbin”. Para denegarles a los usuarios el acceso a este, se pueden realizar dos acciones:
- Ejecutar la siguiente secuencia T-SQL dentro de SQL Server Management Studio:
use master
deny execute on sp_replwritetovarbin to public
- Acudir al listado “Extended Stored Procedures” de la bases de datos y habiendo localizado el procedimiento, modificar los permisos que tiene asignados en el diálogo “Propiedades”. Esta última operación puede variar según la versión de SQL Server que se esté utilizando.
El hecho de deshabilitar este procedimiento sólo afectará a determinados usuarios que tengan habilitada la replicación transaccional con subscripciones para la actualización de tablas. Pequeñas variaciones de este modelo transaccional no tienen por qué tener problemas al llevar a cabo esta acción.
Una vez tomadas estas medidas, el siguiente paso natural sería actualizar el sistema cuando el fabricante ponga a disposición de los usuarios el correspondiente parche. Para ello se podrá acudir al “Microsoft Update Catalog” (sólo se podrá acceder si se utiliza Internet Explorer 6.0 o superior) y descargar la correspondiente actualización para la versión del software de la que disponga el usuario, utilizando por ejemplo el número del boletín de seguridad de Microsoft que ha publicado la vulnerabilidad (en este caso el MS09-004). Con ello se podrán ver todos aquellos parches disponibles para todo el software afectado.
Una vez descargada e instalada la actualización debe asegurarse el usuario que deshace las medidas tomadas para limitar la funcionalidad del procedimiento conflictivo, de modo que se asegure que se restablece el completo funcionamiento del sistema. Estas medidas son las contrarias a las expuestas antes y se basan en volver a dotar de los privilegios anteriores al procedimiento. Si se saltase este paso el usuario estaría en último término desaprovechando posibilidades del sistema, aunque no tendría por qué ser así dependiendo de la configuración utilizada en la base de datos que administra. Una vez realizado este último paso, el usuario podrá estar seguro de que el sistema no será vulnerable según las directrices que marcaba este boletín, aunque no por ello podrá afirmar tener un sistema completamente seguro.
sábado, 16 de enero de 2010
Vulnerabilidades: Desbordamiento en la pila
viernes, 15 de enero de 2010
Inyección SQL: Medidas preventivas
jueves, 14 de enero de 2010
Vulnerabilidades: Inyección SQL
miércoles, 13 de enero de 2010
Algunas Características
Si se menciona su escalabilidad, debe considerarse que cuenta con un tamaño virtualmente ilimitado cuando nos referimos a la base de datos, al igual que ocurre con muchas de las soluciones serias que se encuentran en el mercado dentro de este campo. Es completamente compatible con procesadores multinúcleo, por lo que podría hacer uso de un número de CPUs también ilimitado, virtualmente hablando. Esto se entiende por su compatibilidad con bases de datos a gran escala, el procesamiento paralelo de operaciones de indexación y la vista de estas, acorde con los grandes volúmenes de datos a tratar.
Una de las características más importantes para una base de datos cuando se manejan esas cantidades de datos tan importantes será poseer un elevado nivel de disponibilidad. SQL Server consigue este objetivo incluyendo soluciones de conmutación rápida por error y redireccionamiento automático del cliente, así como otros aspectos importantes como los cambios del sistema en línea, la organización en clústeres, la transmisión de registros de seguridad o las operaciones de indización, restauración y recuperación de la base de datos tras determinadas operaciones.
Si se hace referencia a la arquitectura de los datos que se tratan, cabe indicar que SQL Server hace uso del protocolo del nivel de aplicación TDS (Tabular Data Stream) para llevar a cabo la comunicación Cliente-Servidor sobre la base de datos. Este a su vez se implementará sobre distintos mecanismos de intercambio de información, ya sea mediante memoria compartida, haciendo uso de la red con TCP/IP, o en general a través de métodos de comunicación entre procesos (ICP).
En el apartado de seguridad, muchos de los aspectos que se tratan son también comunes en otros sistemas de gestión, como por ejemplo el cifrado de los datos y la administración de claves, o los procesos de auditoría, autenticación y autorización. Después también se implementan una serie de análisis de las prácticas más adecuadas y se realizan procesos de integración con herramientas de Microsoft para, por ejemplo, buscar vulnerabilidades comunes que puedan surgir en el sistema.
Además permite en las nuevas ediciones incorporar tipos de datos definidos por el usuario, especialmente útiles para almacenar archivos multimedia y grandes bloques de información, así como la creación de aplicaciones avanzadas de suscripción y publicación. Otro aspecto relativo a la programabilidad es que incluye soporte para la gestión de datos XML, sumados al tipo básico que impone el modelo relacional.
En las nuevas versiones se viene haciendo hincapié en la robustez y la escalabilidad de la plataforma y, como viene siendo habitual, también en los procesos de monitorización y gestión, algo que sin duda responde al intento de Microsoft de adaptar su producto a las demandas del mercado según las nuevas normativas y los modelos de trabajo vigentes. Sin duda las nuevas incorporaciones serán bien recibidas por los desarrolladores y ayudarán a facilitar su trabajo.
martes, 12 de enero de 2010
Qué ofrece SQL Server
SQL Server ofrece a los administradores de bases de datos una amplia variedad de herramientas y facilidades, tales como la administración multi-servidr y con una sola consola, la ejecución y alerta de trabajos basadas en eventos, una sólida seguridad integrada y scripting administrativo, además de permitir automatizar las diversas tareas de rutina que simplifican enormemente la tarea de los administradores. Todo esto hace de SQL Server una aplicación idónea para la administración de sucursales y aplicaciones de bases de datos insertadas.
Otro aspecto muy a tener en cuenta es que los clientes invierten en sistemas de administración de bases de datos en forma de aplicaciones escritas para esa base de datos, y la educación que implica para la implementación y administración de las mismas. Esa inversión debe protegerse: a medida que el negocio crece, la base de datos deberá crecer y manejar más datos, transacciones y usuarios. Los clientes también desean proteger las inversiones a medida que escalan aplicaciones de base de datos hacia equipos portátiles y sucursales.
Mientras los sistemas de procesamiento siguen siendo un componente clave para las infraestructuras de bases de datos corporativas, las compañías también están invirtiendo bastante en mejorar la comprensión que tienen de sus datos. La estrategia de Microsoft consiste en reducir el costo y la complejidad del almacenamiento de datos mientras hace que la tecnología sea más accesible a una mayor cantidad de público. A dicho fin, Microsoft ha establecido un enfoque total a todo el proceso de almacenamiento, cuyo objetivo es facilitar la construcción y diseño de soluciones efectivas a través de una combinación de tecnologías, servicios y alianzas con los proveedores.
La Microsoft Data Warehousing Alliance (DWA) es una coalición que une a los líderes en la industria de almacenamiento de datos y aplicaciones. El Microsoft Data Warehousing Framework constituye un conjunto de interfaces de programación diseñadas para simplificar la integración y administración de soluciones de data warehousing. Se trata de una arquitectura abierta que acelera, simplifica y reduce los costes de construcción, gestión y uso de las aplicaciones de negocio inteligentes cada vez más extendidas, integrando la capacidad de almacenamiento de SQL Server con las diversas herramientas provistas por Office.
Las mejoras introducidas en el data warehousing por SQL Server permiten manejar consultas complejas y bases de datos de gran tamaño, así como disponer de fiabilidad y escalabilidad, haciendo así que sea una de las aplicaciones líder en varias de las categorías de aplicación de rápido crecimiento en la industria de base de datos. Estas incluyen comercio electrónico, automatización de sucursales, aplicaciones de línea de negocios insertadas y mercados de datos.
lunes, 11 de enero de 2010
Introducción a SQL Server
Surgió entre finales de los 80 y principios de los 90 gracias a varias empresas entre las que se encontraba la propia Microsoft y otra empresa llamada Sybase como “cabezas visibles”. En el momento en el que sale al mercado Windows NT, ambas deciden tomar su propio camino. De este modo la primera de ellas buscó asegurarse la negociación de derechos exclusivos del software desarrollado para ser utilizado únicamente dentro de sus Sistemas Operativos. Sybase, por su parte, siguió con Sybase SQL Server, un nuevo sistema virtualmente idéntico pero con la diferencia de que conserva íntegramente la herencia Unix de sus inicios, de la que Microsoft planteó deshacerse en el momento de la separación.
La primera versión se denominó SQL Server 1.0 cuando todavía se encontraba dentro del compendio de empresas creadoras. Tras la separación, la siguiente versión data de 1993 y se denomina SQL Server 4.21, y a esta la siguen la 6.0, la 6.5 y la 7.0 (desde 1995 hasta 1999). En el año 2000, la versión 8.0 pasa a llamarse SQL Server 2000, y tres años después sale su homónima para plataformas de 64 bits. SQL Server 2005 se corresponde con la versión 9.0 y sale ese mismo año y lo mismo para la versión 10.0 o SQL Server 2008. Todas estas versiones a excepción de las dos primeras tienen asociado un nombre que las identifica. La última actualización se anunció en 2009 y es la SQL Server 2008 R2, con el nombre particular de edición “Kilimanjaro”, y siendo su principal característica la presencia de una consola centralizada que permite gestionar múltiples instancias SQL Server y la posibilidad de trabajar sobre un elevado número de procesadores lógicos.
Dado su carácter de pago y con vistas a no estancarse a la hora de atraer usuarios, Microsoft pone en mano de cualquier usuario que lo desee una versión reducida de SQL Server denominada SQL Express Edition. Lleva el mismo motor de DB pero está orientado a proyectos de pequeña envergadura, contando en la última versión con una capacidad de hasta 4 GB pero con las limitaciones que impone su ralentización cuando un número creciente de usuarios hace uso de ella de forma concurrente. Se trata pues de una versión de evaluación que permite a los desarrolladores familiarizarse con SQL Server sin la necesidad de pagar, algo que no tendrían que hacer para otros sistemas disponibles, pero que dentro del entorno empresarial y dada la implantación de los SO Windows no supone un problema demasiado acusado cuando hay dinero o bien se cuenta con intereses de mercado de por medio por parte de Microsoft.