RE: [Linuxcantabria] Fw: una-al-dia (02/01/2004) Gravísima vulnerabilidad en el "firmware" de los "drivers" CD-ROM de LG

Soknet soknet en teleline.es
Dom Ene 4 19:25:43 UTC 2004


Tb en Ibl lo comentaban hoy:
http://www.iblnews.com/txt/noticia.php?id=96771


Así como un secuestro de sesiones en PHP/Apache (q no tiene nada q ver con
lo anterior):
http://www.iblnews.com/txt/noticia.php?id=96739


-----Mensaje original-----
De: linuxcantabria-bounces en linuca.org
[mailto:linuxcantabria-bounces en linuca.org] En nombre de Víctor Muñoz
Enviado el: domingo, 04 de enero de 2004 16:30
Para: Lista LINUCA
Asunto: [Linuxcantabria] Fw: una-al-dia (02/01/2004) Gravísima
vulnerabilidad en el "firmware" de los "drivers" CD-ROM de LG

Cuidado los que tengáis lectores LG, no instaléis Mandrake 9.2 (no es
broma, leed).

Instalad Debian (esto sí es broma :-)).

Un saludo.


Mensaje reenviado:

Fecha: Sun, 04 Jan 2004 01:20:01 +0200
De: noticias en hispasec.com
A: unaaldia en hispasec.com
Asunto: una-al-dia (02/01/2004) Gravísima vulnerabilidad en el
"firmware" de los "drivers" CD-ROM de LG

> 
> -----BEGIN PGP SIGNED MESSAGE-----
> 
>  -------------------------------------------------------------------
>   Hispasec - una-al-día                                  02/01/2004
>   Todos los días una noticia de seguridad          www.hispasec.com
>  -------------------------------------------------------------------
>  
>  Gravísima vulnerabilidad en el "firmware" de los "drivers" CD-ROM
>  de
>  LG----------------------------------------------------------------
>  -------
> 
> Algunas de las unidades lectoras de CD-ROM del fabricante LG
> contienen un gravísimo error en el "firmware" que permite que
> cualquier software malicioso que se ejecute en el sistema del
> usuario pueda destruir"físicamente" la unidad CD-ROM.
> 
> El "firmware" de un dispositivo hardware (en este caso, de una
> unidad de CD-ROM) es el "software" de control que se ejecuta en
> dicho dispositivo. A "grosso modo", un dispositivo hardware moderno
> es un ordenador especializado en miniatura, y su "firmware" es el
> "sistema operativo" específico necesario para realizar su trabajo.
> Hay que distinguir el"firmware", que se ejecuta dentro del propio
> dispositivo, con los"drivers" normales del sistema operativo, que se
> ejecutan en la máquina del usuario.
> 
> Los dispositivos LG vulnerables implementan un comando "opcional"
> del estándar ATAPI (el estándar de conexión de discos duros,
> CD-ROMs, controladores DVD, etc.) de forma ilegal, que viola dicho
> estándar, y sustituye el comando legítimo pero opcional del estándar
> por un comando propio, propietario. Dicho comando no documentado e
> "ilegal" según el estándar, es utilizado por LG para ordenar a la
> unidad de CD a que proceda a sobreescribir su "firmware" con una
> nueva versión. Esta operación se realiza completamente por software,
> sin intervención ni conocimiento del usuario.
> 
> El efecto neto es que cualquier software malicioso ejecutado por el
> usuario puede utilizar dicho comando para ordenar a la unidad CD que
> borre su firmware, volviéndolo inútil y convirtiendo el dispositivo
> en un caro pisapapeles.
> 
> El problema fue descubierto de forma accidental por usuarios de
> dichos dispositivos, cuando intentaron instalar una nueva versión de
> la distribución LINUX "Mandrake 9.2". Dicha instalación hace uso del
> comando tal y como se define en el estándar, funcionando a la
> perfección en cualquier sistema excepto bajo los drivers LG, que
> quedaban inutilizados. Tras unas primeras horas de desconcierto y
> acusaciones cruzadas, quedó claro que el problema real reside en LG
> y no en la distribución Linux de Mandrake, ya que cualquier otro
> software podría haber desencadenado el mismo desastre de "hardware".
> 
> Linux Mandrake ha publicado una nueva revisión de la versión 9.2 de
> su distribución Linux, en beneficio de los usuarios con sistemas
> vulnerables. Por su parte LG ha publicado en su web, también, una
> actualización del "firmware" de sus equipos, que soluciona el
> problema.
> 
> Personalmente espero que esta vez dicho "firmware" no permita
> inutilizar el dispositivo con una simple orden enviada por cualquier
> virus, troyano, etc. que pudiera introducirse en el equipo.
> Cualquier actualización del "firmware" de un dispositivo (incluyendo
> la BIOS del ordenador, recordemos el caso del virus CIH que borraba
> la flash BIOS de ciertos ordenadores portátiles) debe requerir
> SIEMPRE una acción explícita por parte del usuario.
> 
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldia/1895
> 
> Más información:
> 
> LG CD-ROMs Destroyed by Mandrake 9.2
> http://slashdot.org/article.pl?sid=03/10/25/1737244
> 
> Mandrake Linux 9.2 Installation Notes: LG CD-ROM drives Errata
> http://www.mandrakelinux.com/en/lgerrata.php3
> 
> Re: WARNING! Mandrake 9.2 - Hardware problem.
>
http://groups.google.com/groups?dq=&hl=en&lr=&ie=UTF-8&threadm=2003102522412
1.070c56f1.newspost%40xanadu.nagarajan.net&prev=/groups%3Fhl%3Den%26lr%3D%26
ie%3DUTF-8%26group%3Dalt.os.linux.mandrake
> 
> Mandrake 9.2 may kill LG CD-ROM drives
> http://www.newsforge.com/article.pl?sid=03/10/27/0218209
> 
> Fault with Mandrake and LG drives found, fix coming out
> http://www.pclinuxonline.com/modules.php?name=News&file=article&sid=7930
> 
> LgCdrom
> http://mandrake.vmlinuz.ca/bin/view/Main/LgCdrom
> 
> Mandrake 9.2 estropea unidades ópticas de CD
> http://barrapunto.com/article.pl?sid=03/10/26/1131226
> 
> GNU/Linux: Mandrake to Issue New 9.2 ISOs and CDs
> http://news.osdir.com/article302.html
> 
> Mandrake 9.2 ISOs Available
> http://slashdot.org/article.pl?sid=03/11/14/190211
> 
> LG Electronics Service Online
> http://us.lgservice.com/
> 
> 
> Jesús Cea Avión
> jcea en hispasec.com
> 
> 
>  Tal día como hoy:
>  -----------------
> 
> 02/01/2003: Vulnerabilidad DoS en el IOS de Cisco
>     http://www.hispasec.com/unaaldia/1530
> 
> 02/01/2002: Congresos y seminarios de seguridad informática 2002
>     http://www.hispasec.com/unaaldia/1165
> 
> 02/01/2001: Análisis de la distribución de actualizaciones de
> seguridad
>     http://www.hispasec.com/unaaldia/800
> 
> 02/01/2000: Efecto 2000: éxito sin precedentes y verdades a medias
>     http://www.hispasec.com/unaaldia/432
> 
> 02/01/1999: Nueva beta de los parches para Windows 98
>     http://www.hispasec.com/unaaldia/67
> 
> 
>  -------------------------------------------------------------------
>   Claves PGP en http://www.hispasec.com/directorio/contacto
>  -------------------------------------------------------------------
>   Bajas:   mailto:unaaldia-request en hispasec.com?subject=unsubscribe 
>   Altas:   mailto:unaaldia-request en hispasec.com?subject=subscribe
>  -------------------------------------------------------------------
>   (c) 2004 Hispasec               http://www.hispasec.com/copyright
>  -------------------------------------------------------------------
> 
> 
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 6.5.8
> 
> iQEVAwUBP/cx+Wm0B3NuQ/7BAQEqKQf/SZb+XgyPNZas09Roug1vdv3ErXOoFT/3
> dZCtIIs0lQWIre5DowF/et4vc5qi2YZ+lpnvejCSyqqiGC255knEy+vbrfPsHtpf
> 3Sm6GfUq0hYSlvBrIB5HGkOFH1q7xLdZFLNGFONI1GQncrCLSHOpHJaN68iUa2Kx
> tYu3tIWpvatMMdFN6ldYNHf8zSC402znlvB86kqK1Qj2Ny/Wh5WtaueGCRdTLSey
> U/WGWzR6BcJSaI/yrC/M9LhLxy7nvT3GBVxb1mHm1WGlGb4O66pITXxebc707QTj
> T38L/LzA4ZS5BmVNSz9RmKlHX5YiM9SFRrnuIyLPUC8GnIMghaaIGg==
> =KhuX
> -----END PGP SIGNATURE-----


-- 
-oo0-(.)-(.)-0oo---------------------------------------------------
        v
 Víctor Muñoz, a.k.a. victorm
   _
  (O)>    Linux Registered User #230.189.
  //\
  V_/_    Debian GNU/Linux Sid.

  GPG key ID: 50483643     FP: E31D 1AC3 0458 D44E AFEE
                               D288 6CCC AFFB 5048 3643

   < v.munoz en wanadoo.es >  < http://socios.linuca.org/victorm >
___________________________________________________________________

FORTUNE DISCUSSES THE DIFFERENCES BETWEEN MEN AND WOMEN:	#14

Low Blows:
	Let's say a man and woman are watching a boxing match on TV.  One
of the boxers is felled by a low blow.  The woman says "Oh, gee.  That
must
hurt." The man doubles over and actually FEELS the pain.

Dressing Up:
	A woman will dress up to go shopping, water the plants, empty the
garbage, answer the phone, read a book, get the mail.   A man will
dress up
for: weddings, funerals.  Speaking of weddings, when reminiscing about
weddings, women talk about "the ceremony".  Men laugh about "the
bachelor
party".

David Letterman:
	Men think David Letterman is the funniest man on the face of the
Earth.  Women think he is a mean, semi-dorky guy who always has a bad
haircut.




More information about the Linuxcantabria mailing list