From daniela em ccuec.unicamp.br Mon Jul 1 12:00:51 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 1 Jul 2002 12:00:51 -0300 Subject: [SECURITY-L] New BIND 8 release due to remote buffer overrun Message-ID: <20020701150051.GA627@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] New BIND 8 release due to remote buffer overrun To: seguranca em pangeia.com.br Date: Fri, 28 Jun 2002 18:40:59 -0300 From: Mark_Andrews em isc.org BIND 8.2.6 Release BIND 8.2.6 is security release. The recommended version to use is BIND 9.2.1. If for whatever reason you must run BIND 8, use nothing earlier than 8.2.6-REL, 8.3.3-REL. Do not under any circumstances run BIND 4. 'named' is *not* vulnerable to this security problem. Highlights vs. 8.2.5 Security Fix libbind. All applications linked against libbind need to relinked. the distribution files are: ftp://ftp.isc.org/isc/bind/src/8.2.6/bind-src.tar.gz ftp://ftp.isc.org/isc/bind/src/8.2.6/bind-doc.tar.gz ftp://ftp.isc.org/isc/bind/src/8.2.6/bind-contrib.tar.gz the pgp signature files are: ftp://ftp.isc.org/isc/bind/src/8.2.6/bind-src.tar.gz.asc ftp://ftp.isc.org/isc/bind/src/8.2.6/bind-doc.tar.gz.asc ftp://ftp.isc.org/isc/bind/src/8.2.6/bind-contrib.tar.gz.asc the md5 checksums are: MD5 (bind-contrib.tar.gz) = 8d8a9a981e74d1dc6e3cfb7a1f80a2cd MD5 (bind-contrib.tar.gz.asc) = c6b652f5ee5dc9d93154f55890bc5b96 MD5 (bind-doc.tar.gz) = 7d30910d6f3672ce0d6dfafe20434d18 MD5 (bind-doc.tar.gz.asc) = 89a6cfb8e8242e2c8e6caee90a4eff71 MD5 (bind-src.tar.gz) = 46f711732908fd469d1b09d1fe9ef627 MD5 (bind-src.tar.gz.asc) = 8ee1062bbc51a77290bf36641696d3c0 Windows NT / Windows 2000 binary distribution. Not Available. Upgrade to BIND 8.3.3 or BIND 9.2.1. top of CHANGES says: --- 8.2.6-REL released --- (Wed Jun 26 21:15:43 PDT 2002) 1301. [func] log attempts to exploit #1300. 1300. [bug] Remote buffer overrun. --- 8.2.5-REL released --- (Thu Sep 27 23:41:08 PDT 2001) - ------------------------------------------------------- >From Mark_Andrews em isc.org Fri Jun 28 08:25:55 2002 Date: Sat, 29 Jun 2002 00:20:53 +1000 From: Mark_Andrews em isc.org To: bind-announce em isc.org Subject: BIND 8.3.3 Release BIND 8.3.3 Release BIND 8.3.3 is the fourth release of 8.3. It is a maintenance release and contains a security fix. The recommended version to use is BIND 9.2.1. If for whatever reason you must run BIND 8, use nothing earlier than 8.2.6-REL, 8.3.3-REL. Do not under any circumstances run BIND 4. 'named' is *not* vulnerable to this security problem. Highlights vs. 8.3.2 Security Fix libbind. All applications linked against libbind need to re-linked. 'rndc restart' now preserves named's arguments Highlights vs. BIND 8.3.1: dig, nslookup, host and nsupdate have improved IPv6 support. Highlights vs. BIND 8.3.0: Critical bug fix to prevent DNS storms. If you have BIND 8.3.0 you need to upgrade. the distribution files are: ftp://ftp.isc.org/isc/bind/src/8.3.3/bind-src.tar.gz ftp://ftp.isc.org/isc/bind/src/8.3.3/bind-doc.tar.gz ftp://ftp.isc.org/isc/bind/src/8.3.3/bind-contrib.tar.gz the pgp signature files are: ftp://ftp.isc.org/isc/bind/src/8.3.3/bind-src.tar.gz.asc ftp://ftp.isc.org/isc/bind/src/8.3.3/bind-doc.tar.gz.asc ftp://ftp.isc.org/isc/bind/src/8.3.3/bind-contrib.tar.gz.asc the md5 checksums are: MD5 (bind-contrib.tar.gz) = 15b643046791ba444539b14654c4c70e MD5 (bind-contrib.tar.gz.asc) = 16c7710fa7ab41d7f1ca41dfa3920792 MD5 (bind-doc.tar.gz) = b5b09e7c00709ee4cd550aff3a21e958 MD5 (bind-doc.tar.gz.asc) = 9ff908b030be05c5196359d931f5d490 MD5 (bind-src.tar.gz) = 4e904fdc3d908294147054276eba4064 MD5 (bind-src.tar.gz.asc) = 5e116cc42487ff2d6371bea8bc3a7f94 Windows NT / Windows 2000 binary distribution. ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/readme1st.txt ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/BIND8.3.3.zip ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/BIND8.3.3.zip.asc ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/readme1sttools.txt ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/BIND8.3.3Tools.zip ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/BIND8.3.3Tools.zip.asc the md5 checksums are: MD5 (readme1st.txt) = ac4ce260f151dc1ab393c145f4288bba MD5 (BIND8.3.3.zip) = ed719303bc46adb1e9bff12236ee2fa6 MD5 (BIND8.3.3.zip.asc) = 411693af21f9f70123048c05588b9b27 MD5 (readme1sttools.txt) = 93cbeb616b1eb79a40b4eec4a8b088be MD5 (BIND8.3.3Tools.zip) = 2c81fecb318b052b90cc681a8fba92fc MD5 (BIND8.3.3Tools.zip.asc) = 0ae82182353f1e0fb1c0a4acdf9f095a top of CHANGES says: --- 8.3.3-REL released --- (Wed Jun 26 21:15:43 PDT 2002) 1301. [func] log attempts to exploit #1300. 1300. [bug] Remote buffer overrun. 1299. [func] Log to xfer-in when a named-xfer fails and one of the masters returned REFUSED. 1298. [bug] named could leak a OPT record when returning a negative response. 1297. [func] 'ndc restart' will now attempt to preserve the arguments named was started with. Use 'ndc restart --' to clear the arguements. Use 'ndc restart ' to restart named with a alternate set of arguements. 1296. [bug] delay setting need_restart until the response to ndc exec has been sent. 1295. [func] new ndc command 'args'. returns the arguements that named was started with %xx escaped. 1294. [bug] #1272 broke linkage for those OS's using -lfl (flex). Move -ll/-lfl to LIBL for all platforms. --- 8.3.2-REL released --- (Mon Jun 17 20:24:32 PDT 2002) - -+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+ This message was posted through the FIRST mailing list server. Contact your team's FIRST representative to (un)subscribe, DO NOT REDISTRIBUTE BEYOND MEMBERS OF FIRST TEAMS UNLESS THE AUTHOR OF THIS MESSAGE GRANTS EXPRESS PERMISSION TO REDISTRIBUTE - -+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+#+--+ -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPRyXxnAvLUtwgRsVAQECZggAnaiQHnf3vHdxTnobP9n9pxBAxD6sSLfi i852BGLUvJzVg5cwlO9DwjlE76lSyvRihFGfzEZGg6sJpDetkgYdEfggR74eQtP0 9UtsML+NdZwDXeg3jOOaQUwCqbQ8PU/qzXOhHIi5zTTCU0xy8KbH4NbjSbYQEO50 sFl14DBIHjgSFv9Egl5LjQU9man9G2u+Xa1977r/07BWhqFrTYORlQdFacwoKOZE qEnwalBrdOmGDemWdc+bc/o96f615O5UyErcRqaq6XTn1LtPPXZ6lgjw34j/wOpC 68UZXB1fxzWe2oh7M7F5FLVWqve+DclqjT0OPBMkrZayOfYBksH7Ww== =W4VX -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 1 15:52:13 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 1 Jul 2002 15:52:13 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020701185213.GA859@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 14/06/2002: ----------- Microsoft Security Bulletin (MS02-027) Assunto: Unchecked Buffer in Gopher Protocol Handler Can Run Code of Attacker's Choice (Q323889). http://www.security.unicamp.br/docs/bugs/2002/06/v80.txt 24/06/2002: ----------- Mandrake Linux Security Update Advisory (MDKSA-2002:040) Assunto: vulnerabilidade de seguranca no software openssh. http://www.security.unicamp.br/docs/bugs/2002/06/v81.txt 25/06/2002: ----------- EnGarde Secure Linux Security Advisory (ESA-20020625-015) Assunto: vulnerabilidade de seguranca no software openssh. http://www.security.unicamp.br/docs/bugs/2002/06/v82.txt SuSE Security Announcement (SuSE-SA:2002:023) Assunto: vulnerabilidade de seguranca no software openssh. http://www.security.unicamp.br/docs/bugs/2002/06/v83.txt Caldera International, Inc. Security Advisory (CSSA-2002-SCO.30) Assunto: UnixWare 7.1.1 Open UNIX 8.0.0: dtprintinfo buffer overflow with Help search. http://www.security.unicamp.br/docs/bugs/2002/06/v85.txt 26/06/2002: ----------- Revised: OpenSSH Security Advisory http://www.security.unicamp.br/docs/bugs/2002/06/v87.txt FreeBSD, Inc. Security Advisory (FreeBSD-SA-02:28) Assunto: buffer overflow in resolver. http://www.security.unicamp.br/docs/bugs/2002/06/v88.txt CAIS-ALERTA: Vulnerabilidade Remota no OpenSSH. http://www.security.unicamp.br/docs/bugs/2002/06/v89.txt Slackware-security Assunto: new OpenSSH packages available. http://www.security.unicamp.br/docs/bugs/2002/06/v90.txt CERT Advisory CA-2002-18 Assunto: OpenSSH Vulnerabilities in Challenge Response Handling. http://www.security.unicamp.br/docs/bugs/2002/06/v91.txt Microsoft Security Bulletin (MS02-032) Assunto: Cumulative Patch for Windows Media Player (Q320920). http://www.security.unicamp.br/docs/bugs/2002/06/v92.txt Microsoft Security Bulletin (MS02-033) Assunto: Unchecked Buffer in Profile Service Could Allow Code Execution in Commerce Server (Q322273). http://www.security.unicamp.br/docs/bugs/2002/06/v93.txt Trustix Secure Linux Security Advisory #2002-0058 Assunto: vulnerabilidade de seguranca no software apache. http://www.security.unicamp.br/docs/bugs/2002/06/v104.txt 27/06/2002: ----------- Debian Security Advisory (DSA 134-4) Assunto: vulnerabilidade de seguranca no software openssh. http://www.security.unicamp.br/docs/bugs/2002/06/v94.txt Cisco Security Advisory Assunto: Scanning for SSH Can Cause a Crash. http://www.security.unicamp.br/docs/bugs/2002/06/v95.txt NetBSD Security Advisory 2002-005 Assunto: OpenSSH protocol version 2 challenge-response authentication vulnerability. http://www.security.unicamp.br/docs/bugs/2002/06/v96.txt NetBSD Security Advisory 2002-006 Assunto: buffer overrun in libc DNS resolver. http://www.security.unicamp.br/docs/bugs/2002/06/v97.txt Anúncio de atualização do Conectiva Linux (CLA-2002:501) Assunto: Problemas na instalação do netsaint-www. http://www.security.unicamp.br/docs/bugs/2002/06/v98.txt Caldera International, Inc. Security Advisory (CSSA-2002-030.0) Assunto: Linux: OpenSSH Vulnerabilities in Challenge Response Handling. http://www.security.unicamp.br/docs/bugs/2002/06/v99.txt CAIS-ALERTA Assunto: Patch Acumulativo para o Windows Media Player (Q320920). http://www.security.unicamp.br/docs/bugs/2002/06/v100.txt CAIS-ALERTA Assunto: Vulnerabilidades no Microsoft Commerce Server (Q322273). http://www.security.unicamp.br/docs/bugs/2002/06/v101.txt CAIS-ALERTA Assunto: CERT Advisory CA-2002-18 Vulnerabilidades no OpenSSH. http://www.security.unicamp.br/docs/bugs/2002/06/v102.txt Red Hat, Inc. Red Hat Security Advisory (RHSA-2002:127-18) Assunto: Updated OpenSSH packages fix various security issues. http://www.security.unicamp.br/docs/bugs/2002/06/v103.txt 28/06/2002: ----------- Trustix Secure Linux Security Advisory #2002-0059 Assunto: vulnerabilidade de seguranca no software openssh. http://www.security.unicamp.br/docs/bugs/2002/06/v105.txt Anúncio de segurança do Conectiva Linux (CLA-2002:502) Assunto: Vulnerabilidade remota no OpenSSH. http://www.security.unicamp.br/docs/bugs/2002/06/v106.txt CERT Advisory CA-2002-19 Assunto: Buffer Overflow in Multiple DNS Resolver Libraries. http://www.security.unicamp.br/docs/bugs/2002/06/v107.txt Anúncio de atualização do Conectiva Linux (CLA-2002:503) Assunto: Correções para nss_ldap. http://www.security.unicamp.br/docs/bugs/2002/06/v108.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Jul 2 11:41:17 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 2 Jul 2002 11:41:17 -0300 Subject: [SECURITY-L] =?iso-8859-1?Q?V=EDru?= =?iso-8859-1?Q?s?= Scalper ataca servidores Apache Message-ID: <20020702144116.GB2266@ccuec.unicamp.br> http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1025537768,61159,/ Vírus Scalper ataca servidores Apache 1/7/2002 - 12:36 Giordani Rodrigues Foi criado o primeiro vírus capaz de infectar servidores Apache vulneráveis. Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper, além de outros nomes, o worm se aproveita do bug chamado "chunked encoding", recentemente descoberto no Apache. O bug atinge uma funcionalidade do servidor responsável pela codificação de blocos de dados ("chunked encoding"), permitindo a execução de códigos arbitrários ou ataques de negação de serviço na máquina afetada. Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa um escalpo", tortura que foi comum entre os índios Apache) é capaz de instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam, rastrear outras máquinas vulneráveis, sobrecarregar e degradar a performance da máquina atingida. O Scalper foi projetado para se disseminar em servidores Apache rodando em sistema operacional FreeBSD, mas os especialistas avisam que o worm pode ser adaptado para funcionar em outros sistemas. A Symantec, por exemplo, informa que já identificou duas variantes do vírus. Após ganhar acesso ao servidor, o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus codificado em UUEncode (formato universal para transferência de arquivos entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então deletado. Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e passa a rastrear outros servidores vulneráveis em redes de Classe A, segundo a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a 223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto, estão na classe C. Isto não é motivo para se despreocupar, pois como já comentado o código do vírus pode ser modificado. Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja FreeBSD, as tentativas de ataque ficarão registradas e poderão ser detectadas pelos administradores. A backdoor instalada na máquina permite que o worm seja controlado à distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a todos os endereços de e-mail encontrados no servidor infectado; executar muitas requisições de acesso à porta 80 (padrão para Web sites), o que degrada a performance dos servidores; e permitir o acesso não-autorizado à máquina, com a conseqüente execução de programas arbitrários. De acordo com a F-Secure, os programas executados a partir da backdoor possuem os mesmos privilégios que os executados por um usuário do servidor. É possível ainda transformar a máquina infectada num "zumbi", e usá-la para lançar ataques de negação de serviço a outros servidores. O worm não modifica as configurações do sistema e pode ser detectado na lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o comando "killall -9 .a". Várias empresas antivírus já possuem vacinas contra o Scalper, que é considerado de baixo a médio risco, por enquanto. No entanto, o programador Domas Mituzas, da empresa lituana Microlink Systems - a primeira pessoa a detectar, na sexta-feira, a atividade do vírus - acredita que a praga esteja se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os comentários estavam em italiano, portanto ele pode vir de qualquer parte do mundo", comentou em uma entrevista à CNet. Pela experiência já adquirida com dois outros worms que infectaram centenas de milhares de servidores - o Code Red e o Nimda - o melhor é se prevenir o quanto antes. Para isto, basta fazer a atualização do Apache no endereço http://www.apache.org/dist/httpd/. A atualização impede que o servidor seja contaminado, mas não impede que sofra ataques de negação de serviço vindo de outras máquinas infectadas. From daniela em ccuec.unicamp.br Tue Jul 2 11:45:47 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 2 Jul 2002 11:45:47 -0300 Subject: [SECURITY-L] FreeBSD 4.6 CDROMs / DVDs Message-ID: <20020702144546.GC2266@ccuec.unicamp.br> ----- Forwarded message from Robert Bruce ----- From: Robert Bruce Subject: FreeBSD 4.6 CDROMs / DVDs To: freebsd-announce em freebsd.org Cc: rab em freebsdmall.com Date: Tue, 02 Jul 2002 01:00:09 -0700 The FreeBSD 4.6 CDROMs are now available and shipping. You can order your discs at http://www.freebsdmall.com. All of the subscriptions have shipped. The USA subscriptions were shipped on Friday and Saturday, so you should receive them early this week. All other subscriptions shipped on Monday, and should arrive sometime next week. If you have any questions about your subscription please email info em freebsdmall.com. We will soon have FreeBSD 4.6 available on DVD. You can pre-order a FreeBSD 4.6 DVD at http://www.freebsdmall.com/dvd. -bob bob em freebsdmall.com http://www.freebsdmall.com A Daemon on Every Desktop ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 3 08:54:18 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 3 Jul 2002 08:54:18 -0300 Subject: [SECURITY-L] Bugs de DNS afetam =?iso-8859-1?Q?v=E1rio?= =?iso-8859-1?Q?s?= sistemas Message-ID: <20020703115417.GA4968@ccuec.unicamp.br> ---- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Bugs de DNS afetam vários sistemas To: undisclosed-recipients: ; Date: Wed, 03 Jul 2002 07:27:31 +0000 Bugs de DNS afetam vários sistemas Segunda-feira, 01 de julho de 2002 - 19h25 SÃO PAULO - Vários sistemas de DNS apresentam uma falha de segurança que pode pôr em risco considerável parcela da internet. A falha afeta programas que traduzem endereços web para números IP e envolve produtos como os assinados pelo Internet Software Consortium (ISC), Berkeley Internet Name Domain (BIND) e Berkeley Software Distribution (BSD). Segundo o centro de segurança CERT, todos os produtos têm uma vulnerabilidade que permite a um atacante enviar repostas falsas de DNS, provocar negação de serviço ou executar código na máquina afetada. Como esses programas de DNS são utilizados em vários sistemas operacionais, todos esses sistemas estão vulneráveis. A solução apresentada pelo CERT é o upgrade para uma versão do programa de DNS mais nova e sem o problema. Para mais detalhes técnicos, consulte o boletim do CERT: www.cert.org/advisories/CA-2002-19.html . Fonte: Carlos Machado, da INFO -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 3 08:55:37 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 3 Jul 2002 08:55:37 -0300 Subject: [SECURITY-L] 3,2 mil novos =?iso-8859-1?Q?v=EDru?= =?iso-8859-1?Q?s?= foram criados neste primeiro semestre Message-ID: <20020703115537.GB4968@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: 3,2 mil novos vírus foram criados neste primeiro semestre To: undisclosed-recipients: ; Date: Wed, 03 Jul 2002 07:45:22 +0000 Fonte: IDGNOW 3,2 mil novos vírus foram criados neste primeiro semestre Fonte: IDG Now! Somente nos primeiros seis meses deste ano foram criados 3.279 vírus de computador, segundo estudo divulgado pela Sophos, especializada em soluções para segurança. No período, a praga mais atuante foi o Klez-H , que apareceu pela primeira vez em março. A análise aponta que os dez invasores que mais proliferaram no semestre infectam sistemas Windows 32. "Percebemos uma mudança total nos vírus de Windows", comentou Graham Cluley, consultor da empresa. Segundo ele, foi-se a época em que vírus de macros em Word e scripts assustavam os adminstradores. "Agora, o que vemos são invasores se disseminando através de funções de redes ou clientes de e-mail", acrescentou. Para os primeiros seis meses de 2002, os dez mais atuantes, segundo a desenvolvedora, foram: W32/Klez-H, W32/Badtrans-B, W32/ElKern-C, W32/Magistr-B, W32/MyParty-A, W32/Klez-E, W32/Sircam-A, W32/Magistr-A, W32/FBound-C e W32/Nimda-A. "Como esperado, o Klez-H encabeçou a lista. Ele deve servir como lembrete de que os vírus continuam representando uma ameaça séria e que é vital para as empresas adotar práticas de segurança em seus sistemas", comentou Cluley. Na segunda colocação, surge o Badtrans-B , que apareceu pela primeira vez em novembro passado e instala um cavalo de tróia na máquina infectada. A Sophos lembra que não é complicado barrá-lo porque ele chega anexado em um arquivo via e-mail. "Para evitar a infecção, além de manter o antivírus atualizado, as empresas devem bloquear o acesso a e-mails com arquivos dessa natureza no servidor. Dessa forma, estarão evitando não só a contaminação pelo Badtrans-B, como também pelo Anna Kournikova , Sircam e outros dessa natureza", disse a análise. O estudo aponta ainda que os boatos sobre novos vírus, prática conhecida por hoax, continuam causando pânico entre os internautas, especificamente o JDBGMGR . A empresa alerta para que os usuários confiram informações nos sites das companhias de segurança antes de apagar arquivos no sistema - como sugeria o JDBGMGR - e outras tarefas semelhantes -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 3 15:08:27 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 3 Jul 2002 15:08:27 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020703180827.GA5529@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 01/07/2002: ----------- Revised OpenSSH Security Advisory http://www.security.unicamp.br/docs/bugs/2002/07/v1.txt CAIS-ALERTA Assunto: CERT Advisory CA-2002-19 Buffer Overflow no DNS Resolver. http://www.security.unicamp.br/docs/bugs/2002/07/v2.txt Caldera International, Inc. Security Advisory (CSSA-2002-SCO.31) Assunto: UnixWare 7.1.1 Open UNIX 8.0.0 : Apache Web Server Chunk Handling Vulnerability / mod_ssl off-by-one error. http://www.security.unicamp.br/docs/bugs/2002/07/v3.txt Caldera International, Inc. Security Advisory (CSSA-2002-SCO.32) Assunto: OpenServer 5.0.5 OpenServer 5.0.6 : Apache Web Server Chunk Handling Vulnerability / mod_ssl off-by-one error. http://www.security.unicamp.br/docs/bugs/2002/07/v4.txt Microsoft Security Bulletin (MS02-028 - version 2.0) Assunto: Heap Overrun in HTR Chunked Encoding Could Enable Web Server Compromise (Q321599). http://www.security.unicamp.br/docs/bugs/2002/07/v5.txt 02/07/2002: ----------- EnGarde Secure Linux Security Advisory (ESA-20020702-016) Assunto: vulnerabilidade de seguranca no software openssh. http://www.security.unicamp.br/docs/bugs/2002/07/v6.txt Debian Security Advisory (DSA 135-1) Assunto: vulnerabilidade de seguranca no package libapache-mod-ssl. http://www.security.unicamp.br/docs/bugs/2002/07/v7.txt EnGarde Secure Linux Security Advisory (ESA-20020702-017) Assunto: vulnerabilidade de seguranca no package mod_ssl. http://www.security.unicamp.br/docs/bugs/2002/07/v8.txt Anúncio de segurança do Conectiva Linux (CLA-2002:504) Assunto: vulnerabilidade no mod_ssl. http://www.security.unicamp.br/docs/bugs/2002/07/v9.txt CAIS-ALERTA Assunto: Vulnerabilidade no HTR scripting do IIS (Q321599) (Version 2.0). http://www.security.unicamp.br/docs/bugs/2002/07/v10.txt SuSE Security Announcement (SuSE-SA:2002:024) Assunto: vulnerabilidade de seguranca no openssh. http://www.security.unicamp.br/docs/bugs/2002/07/v11.txt Mandrake Linux Security Update Advisory (MDKSA-2002:040-1) Assunto: vulnerabilidade de seguranca no openssh. http://www.security.unicamp.br/docs/bugs/2002/07/v12.txt Microsoft Security Bulletin (MS02-029) Assunto: Unchecked Buffer in Remote Access Service Phonebook Could Lead to Code Execution (Q318138). http://www.security.unicamp.br/docs/bugs/2002/07/v13.txt 03/07/2002: ----------- Cisco Security Advisory Assunto: Cisco Secure ACS Unix Acme.server Information Disclosure Vulnerability. http://www.security.unicamp.br/docs/bugs/2002/07/v14.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jul 3 16:08:20 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 3 Jul 2002 16:08:20 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20020703190819.GA5628@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 26/06/2002: ----------- SANS NewsBites Vol. 4 Num. 26 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2002/06/b9.txt 28/06/2002: ----------- LinuxSecurity Brasil Edição Especial #2002/21 Fonte: Linux Security http://www.security.unicamp.br/docs/informativos/2002/06/b10.html 01/07/2002: ----------- SecurityFocus.com Newsletter #150 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2002/07/b1.txt 03/07/2002: ----------- SANS NewsBites Vol. 4 Num. 27 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2002/07/b2.txt -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 5 15:51:46 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 5 Jul 2002 15:51:46 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020705185145.GA8993@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 02/07/2002: ----------- http://www.security.unicamp.br/docs/bugs/2002/07/v1.txt 03/07/2002: ----------- Squid Proxy Cache Security Update Advisory (SQUID-2002:3) Assunto: Squid-2.4.STABLE7. http://www.security.unicamp.br/docs/bugs/2002/07/v15.txt Red Hat, Inc. Red Hat Security Advisory (RHSA-2002:051-16) Assunto: New Squid packages available. http://www.security.unicamp.br/docs/bugs/2002/07/v16.txt 04/07/2002: ----------- Mandrake Linux Security Update Advisory (MDKSA-2002:041) Assunto: kernel 2.2 and 2.4. http://www.security.unicamp.br/docs/bugs/2002/07/v17.txt Anúncio de segurança do Conectiva Linux (CLA-2002:505) Assunto: diversas vulnerabilidades no ethereal. http://www.security.unicamp.br/docs/bugs/2002/07/v18.txt Mandrake Linux Security Update Advisory (MDKSA-2002:042) Assunto: vulnerabilidade de seguranca no package LPRng. http://www.security.unicamp.br/docs/bugs/2002/07/v19.txt 05/07/2002: ----------- Anúncio de segurança do Conectiva Linux (CLA-2002:506) Assunto: Multiplas vulnerabilidades no squid. http://www.security.unicamp.br/docs/bugs/2002/07/v20.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 12 10:54:00 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 12 Jul 2002 10:54:00 -0300 Subject: [SECURITY-L] Sai pacote antibug para o SQL Server 2000 Message-ID: <20020712135400.GD4929@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Sai pacote antibug para o SQL Server 2000 To: undisclosed-recipients: ; Date: Fri, 12 Jul 2002 07:57:37 -0300 Sai pacote antibug para o SQL Server 2000 Quinta-feira, 11 de julho de 2002 - 12h50 SÃO PAULO - A Microsoft publicou nesta quarta-feira dois boletins de segurança com correções de bugs no banco de dados SQL Server. O primeiro apresenta um pacote que reúne todas as correções publicadas até o momento para o SQL Server 2000. O outro boletim trata de um problema que afeta a versão 2000 e também o SQL Server 7.0 e motor de banco de dados MSDE 1.0. Além de reunir todas as correções já lançadas para o SQL Server 2000, o pacote cumulativo inclui soluções para três novos bugs. Para obter esse pacote, vá ao endereço www.uol.com.br/info/aberto/download/2422.shl . Enquanto o pacote de correções aplica-se apenas ao SQL Server 2000, o problema tratado no segundo boletim afeta o banco de dados nas versões 7.0, 2000 e MSDE 1.0. O erro ocorre durante a instalação, quando senhas fornecidas podem permanecer no sistema. O download da correção pode ser feito em www.uol.com.br/info/aberto/download/2694.shl . Fonte: Carlos Machado, da INFO [Envie este artigo para um amigo] -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 12 12:33:17 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 12 Jul 2002 12:33:17 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20020712153317.GA5281@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 08/07/2002: ----------- LinuxSecurity Brasil Edição Especial #2002/22 Fonte: Linux Security http://www.security.unicamp.br/docs/informativos/2002/07/b3.html 08/07/2002: ----------- SecurityFocus.com Newsletter #152 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2002/07/b4.txt 10/07/2002: ----------- SANS NewsBites Vol. 4 Num. 28 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2002/07/b5.txt 12/07/2002: ----------- LinuxSecurity Brasil Edição Especial #2002/23 Fonte: Linux Security http://www.security.unicamp.br/docs/informativos/2002/07/b6.html -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 12 14:50:37 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 12 Jul 2002 14:50:37 -0300 Subject: [SECURITY-L] Encontrada nova falha de =?iso-8859-1?Q?se?= =?iso-8859-1?Q?guran=E7a?= no IE e no Outlook Message-ID: <20020712175037.GA5398@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Encontrada nova falha de segurança no IE e no Outlook To: undisclosed-recipients: ; Date: Thu, 11 Jul 2002 12:24:36 -0300 Encontrada nova falha de segurança no IE e no Outlook Quinta-feira, 11 de Julho de 2002 - 10h06 Fonte: IDG Now! Especialistas identificaram uma nova falha de segurança no browser Internet Explorer (IE) e no programa de correio eletrônico Outlook, da Microsoft. O bug, segundo pesquisadores da empresa de segurança Pivx Solutions, pode deixar os sistemas vulneráveis para códigos maliciosos inseridos nos e-mails ou nas páginas da Web. O bug resulta de uma falha no scripting do recurso de troca de domínios. Isso significa que os objetos embutidos nas páginas da Web - baseadas em HTML 4 - e nos e-mails podem conter um código que permite aos hackers acessar máquinas vulneráveis, ler arquivos e documentos, e executar programas no computador. A Pivx descreveu a vulnerabilidade como "de extremo alto risco", já que ela possibilita a execução arbitrária de programas, bem como a leitura de arquivos confidenciais e o roubo de cookies do servidor. O bug ocorre por causa do elemento "Object" utilizado para inserir objetos externos na página HTML. Tais objetos podem ser o controle do WebBrowser e do ActiveX, assim como imagens, applets, entre outros. A empresa identificou a falha no IE 5.5 rodando no Windows 98 e no NT, e no IE6 com Windows 2000. [ David Legard - IDG News Service, Cingapura ] -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 12 15:58:35 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 12 Jul 2002 15:58:35 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020712185835.GB5484@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 09/07/2002: ----------- SuSE Security Announcement (SuSE-SA:2002:025) Assunto: vulnerabilidade de seguranca no squid. http://www.security.unicamp.br/docs/bugs/2002/07/v21.txt SuSE Security Announcement (SuSE-SA:2002:026) Assunto: vulnerabilidade de seguranca no bind e glibc. http://www.security.unicamp.br/docs/bugs/2002/07/v22.txt 10/07/2002: ----------- CERT Advisory CA-2002-20 Assunto: Multiple Vulnerabilities in CDE ToolTalk. http://www.security.unicamp.br/docs/bugs/2002/07/v23.txt Microsoft Security Bulletin (MS02-024) Assunto: Cumulative Patch for SQL Server (Q316333). http://www.security.unicamp.br/docs/bugs/2002/07/v24.txt Microsoft Security Bulletin (MS02-035) Assunto: SQL Server Installation Process May Leave Passwords on System (Q263968). http://www.security.unicamp.br/docs/bugs/2002/07/v25.txt 11/07/2002: ----------- Caldera International, Inc. Security Advisory (CSSA-2002-SCO.28) Assunto: UnixWare 7.1.1 Open UNIX 8.0.0 : rpc.ttdbserverd file creation and deletion vulnerabilities. http://www.security.unicamp.br/docs/bugs/2002/07/v26.txt CAIS-ALERTA Assunto: SQL Server Installation Process May Leave Passwords on System (Q263968). http://www.security.unicamp.br/docs/bugs/2002/07/v27.txt CAIS-ALERTA Assunto: Patch acumulativo para o SQL Server (Q316333). http://www.security.unicamp.br/docs/bugs/2002/07/v28.txt CAIS-ALERTA Assunto: CERT Advisory CA-2002-10 Multiple Vulnerabilities in CDE ToolTalk. http://www.security.unicamp.br/docs/bugs/2002/07/v29.txt SGI Security Advisory (20020701-01-I) Assunto: DNS resolver vulnerability. http://www.security.unicamp.br/docs/bugs/2002/07/v30.txt Anúncio de segurança do Conectiva Linux (CLA-2002:507) Assunto: vulnerabilidade nas bibliotecas de resolução de nomes. http://www.security.unicamp.br/docs/bugs/2002/07/v31.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Mon Jul 15 15:43:14 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 15 Jul 2002 15:43:14 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020715184314.GA1152@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 12/07/2002: ----------- Anúncio de atualização do Conectiva Linux (CLA-2002:508) Assunto: arquivos de desenvolvimento incorretos (pacote=qt2). http://www.security.unicamp.br/docs/bugs/2002/07/v32.txt Anúncio de atualização do Conectiva Linux (CLA-2002:509) Assunto: Problemas com CDs de áudio no KDE 3.0.1 (pacote=vorbis). http://www.security.unicamp.br/docs/bugs/2002/07/v33.txt FreeBSD, Inc. Security Advisory (FreeBSD-SA-02:29) Assunto: buffer overflow in tcpdump when handling NFS packets. http://www.security.unicamp.br/docs/bugs/2002/07/v34.txt FreeBSD, Inc. Security Advisory (FreeBSD-SA-02:30) Assunto: users may trace previously privileged processes. http://www.security.unicamp.br/docs/bugs/2002/07/v35.txt SGI Security Advisory (20020605-01-I) Assunto: Apache Web Server Chunk Handling vulnerability. http://www.security.unicamp.br/docs/bugs/2002/07/v36.txt 15/07/2002: ----------- Trustix Secure Linux Security Advisory #2002-0061 Assunto: vulnerabilidade de seguranca no bind. http://www.security.unicamp.br/docs/bugs/2002/07/v37.txt Trustix Secure Linux Security Advisory #2002-0062 Assunto: vulnerabilidade de seguranca no squid. http://www.security.unicamp.br/docs/bugs/2002/07/v38.txt FreeBSD, Inc. Security Advisory (FreeBSD-SA-02:31) Assunto: openssh contains remote vulnerability. http://www.security.unicamp.br/docs/bugs/2002/07/v39.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Jul 16 10:26:19 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 16 Jul 2002 10:26:19 -0300 Subject: [SECURITY-L] =?iso-8859-1?Q?V=EDrus_Frethem_infecta_sem?= =?iso-8859-1?Q?_a=E7=E3o_do_usu=E1rio?= Message-ID: <20020716132618.GA2482@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Vírus Frethem infecta sem ação do usuário To: undisclosed-recipients: ; Date: Tue, 16 Jul 2002 07:26:47 -0300 Vírus Frethem infecta sem ação do usuário SÃO PAULO - Empresas de segurança informam o surgimento de duas novas variantes, J e K, do vírus de Frethem. Esse invasor usa um motor de e-mail próprio para enviar mensagens em massa e explora uma brecha do IE 5.x que permite a execução automática do anexo sem intervenção do usuário. I Frethem chega num e-mail em inglês cujo assunto é "Re: Sua senha!" e traz como anexos os arquivos Decrypt-password.exe e Password.txt. O texto principal diz: "Atenção! Você pode acessar informações muito importantes com esta senha. NÃO SALVE a senha em disco. Grave-a na mente. Agora, pressione Cancelar." Se o usuário abrir o executável anexo, o Frethem envia e-mails a todos os nomes do catálogo do Windows e também extrai endereços de arquivos DBX, MBX, EML e MDB. Quando o browser do usuário é o IE 5.x, sem atualizações de segurança, o invasor pode ser executado automaticamente com a simples visualização da mensagem. As versões Frethem.J e Frethem.K diferem apenas no tamanho do anexo, mas desenvolvem ações idênticas. Fonte: Carlos Machado, da INFO -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 16 10:57:34 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 16 Jul 2002 10:57:34 -0300 Subject: [SECURITY-L] Noticias-CAIS: Spam =?iso-8859-1?Q?levar?= =?iso-8859-1?Q?=E1?= ao fim do e-mail, diz guru da internet Message-ID: <20020716135733.GD2482@ccuec.unicamp.br> ----- Forwarded message from Jacomo Dimmit Boca Piccolini ----- From: Jacomo Dimmit Boca Piccolini Subject: [S] Noticias-CAIS: Spam levará ao fim do e-mail, diz guru da internet To: Date: Mon, 15 Jul 2002 17:23:22 -0300 (EST) Noticias - Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP) --------------------------------------------------------------------- [fonte:http://www.uol.com.br/folha/informatica/ult124u10479.shl] Spam levará ao fim do e-mail, diz guru da internet da Folha Online As mensagens de propaganda que lotam caixas postais dos internautas sem autorização farão com que as pessoas deixem de utilizar o e-mail, o que levará ao fim da aplicação mais utilizada da internet. A apocalíptica previsão é de Eric Allman, especialista de computação que escreveu o primeiro programa de e-mail em 1981 e hoje é diretor de tecnologia da norte-americana Sendmail. Allman acredita internet vive uma explosão do spam e empresas, provedores e internautas podem fazer pouco para evitá-lo. Para ele, o fato de o spam ser gratuito é seu pior problema. "A única forma de resolver o problema seria criar um sistema de cobrança para o envio de spam", disse ao site Silicom.com. "Uma das formas é o dinheiro eletrônico. Toda vez que um spam é recebido por um internauta, o remetente terá automaticamente que pagar." Mas esse tipo de controle só pode acontecer se o rementente do spam for conhecido, o que é raro; geralmente, os "spammers" usam técnicas para ocultar o endereço que realmente enviou a mensagem. Chegam, às vezes, a tirar proveito de servidores de e-mails de terceiros para mandar milhões de mensagens. O guru disse que o primeiro passo na luta contra a prática é definir que tipo de mensagem é spam. "Se eu me cadastro num site e começo a receber e-mails dele, é difícil saber se isso é ou não é spam." ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 17 10:19:33 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 17 Jul 2002 10:19:33 -0300 Subject: [SECURITY-L] EUA aprovam =?iso-8859-1?Q?pris=E3o_perp?= =?iso-8859-1?Q?=E9tua?= para hackers Message-ID: <20020717131933.GB4326@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] EUA aprovam prisão perpétua para hackers To: seguranca em pangeia.com.br Date: Wed, 17 Jul 2002 10:03:04 -0300 [http://idgnow.terra.com.br/idgnow/business/2002/07/0039] EUA aprovam prisão perpétua para hackers Terça-feira, 16 de Julho de 2002 - 10h17 IDG Now! A Justiça americana passou ontem uma lei que envolve uma série de punições, incluindo a prisão perpétua, para hackers que colocarem vidas humanas em risco - deliberadamente ou por comportamento irresponsável. Aprovado por 385 a 3 votos, o projeto de lei expande ainda mais o poder da polícia de grampear comunicações via telefone ou Internet sem obter antes uma ordem judicial. A administração Bush já pediu ao Congresso que aprove a iniciativa - batizada de Cyber Security Enhancement Act (CSEA) -, considerada pelos seus apoiadores como uma maneira de responder às invasões eletrônicas, ataques denial of service (DoS) e ciberterrorismo. A nova lei diz que: "um ciberataque terrorista ou criminal pode abalar a economia e a infra-estrutura crítica da nação. É imperativo que as penalidades e leis sejam adequadas para impedir e deter tais iniciativas." Segundo as novas regras, os provedores de Internet também poderão revelar o conteúdo das mensagens de e-mail e outros registros eletrônicos para a polícia em casos envolvendo crimes sérios. Atualmente, é ilegal nos EUA que tais companhias divulguem qualquer material dessa natureza. Entidades defensoras da liberdade de expressão criticaram o ato, alegando que a iniciativa infringe direitos civis e aumenta o poder de controle do cidadão por parte do governo. A lei, no entanto, já ganhou o apoio dos principais grupos da indústria, incluindo a Business Software Alliance, a Association for Competitive Technology, a Information Technology Association of America e o Information Technology Industry Council. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 17 14:35:03 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 17 Jul 2002 14:35:03 -0300 Subject: [SECURITY-L] =?iso-8859-1?Q?Comit=EA_Gestor_lan=E7a_doc?= =?iso-8859-1?Q?umentos_sobre_pr=E1ticas_de_seguran=E7a?= de redes Message-ID: <20020717173503.GB4661@ccuec.unicamp.br> -> [ Comitê Gestor lança documentos sobre práticas de segurança de redes ] O Comitê Gestor da Internet no Brasil, através do grupo de segurança NIC BR Security Office (NBSO), lançou dois importantes documentos sobre "Práticas de Segurança para Administradores de Redes Internet". O objetivo é facilitar a administração segura das redes e recursos e minimizar as chances de ocorrerem problemas de segurança. Os documentos são dirigidos para os profissionais técnicos de redes conectadas à Internet, especialmente os administradores de redes, sistemas e/ou segurança, que são os responsáveis pelo planejamento, implementação ou operação de redes e sistemas. Fonte: Modulo Security Magazine Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=6148 From daniela em ccuec.unicamp.br Wed Jul 17 15:03:42 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 17 Jul 2002 15:03:42 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020717180342.GC4661@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 15/07/2002: ----------- Anúncio de atualização do Conectiva Linux (CLA-2002:510) Assunto: Suporte a novo hardware e outras melhorias (pacote= grub). http://www.security.unicamp.br/docs/bugs/2002/07/v40.txt Caldera International, Inc. Security Advisory (CSSA-2002-SCO.33) Assunto: OpenServer 5.0.5 OpenServer 5.0.6 : timed does not enforce nulls. http://www.security.unicamp.br/docs/bugs/2002/07/v41.txt Caldera International, Inc. Security Advisory (CSSA-2002-SCO.34) Assunto: OpenServer 5.0.5 OpenServer 5.0.6 : uux status file name buffer overflow. http://www.security.unicamp.br/docs/bugs/2002/07/v42.txt 16/07/2002: ----------- Anúncio de atualização do Conectiva Linux (CLA-2002:511) Assunto: Correcoes e melhorias para o instalador. http://www.security.unicamp.br/docs/bugs/2002/07/v43.txt Red Hat, Inc. Red Hat Security Advisory (RHSA-2002:134-12) Assunto: Updated mod_ssl packages available. http://www.security.unicamp.br/docs/bugs/2002/07/v44.txt Mandrake Linux Security Update Advisory (MDKSA-2002:043) Assunto: vulnerabilidade de seguranca no bind. http://www.security.unicamp.br/docs/bugs/2002/07/v45.txt Caldera International, Inc. Security Advisory (CSSA-2002-031.0) Assunto: Linux: mod_ssl off-by-one error. http://www.security.unicamp.br/docs/bugs/2002/07/v46.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Jul 18 11:40:18 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 18 Jul 2002 11:40:18 -0300 Subject: [SECURITY-L] [aleph1@securityfocus.com: Administrivia: Symantec acquiring SecurityFocus] Message-ID: <20020718144017.GA1721@ccuec.unicamp.br> ----- Forwarded message from aleph1 em securityfocus.com ----- From: aleph1 em securityfocus.com Subject: Administrivia: Symantec acquiring SecurityFocus To: bugtraq em securityfocus.com Date: Wed, 17 Jul 2002 15:27:54 -0600 Good day, Today, SecurityFocus and Symantec announced that Symantec is acquiring SecurityFocus. Symantec sees real value in the services SecurityFocus provides to its customers and believes they are an excellent fit with their current offerings. We at SecurityFocus see this as an opportunity to provide even better services for the security community. Symantec recognizes the value and uniqueness of the public services SecurityFocus provides to the community, such as the numerous mailing lists we host and the content we provide via the SecurityFocus Online web site. In particular, Symantec and SecurityFocus want to ease any fears as to whether the character of this mailing list will change. Frequently Asked Questions: Q. What is the Symantec strategy for keeping data sources? A. We believe it is critical to maintain the integrity of the existing security community currently part of the SecurityFocus portal and Bugtraq mailing list. Q. What is Symantec's disclosure policy? A. Symantec believes in responsible vulnerability disclosure and is active in initiatives to set best practices in this area. Our first priority is to help our customers protect their computing assets by providing tools and information to safeguard their systems. We will work with vendors, if we discover vulnerabilities in other products, to report and investigate the issue in a thorough and timely fashion, in the same way that Symantec will work with other security researchers if they find an issue with any Symantec technology. We observe a 30-day grace period after the notification of a security advisory to give users an opportunity to apply the patch. During this grace period, we provide our customers significant information about the vulnerability and the fix, but not step-by-step instructions for exploiting the vulnerability. We do not provide detailed exploit code or provide samples of malicious code except to other trusted security researchers and in a secured manner. Q. Will Symantec change SecurityFocus' vulnerability reporting policy? A. We believe that in order for the SecurityFocus/Bugtraq community to be effective, it must be an independent entity. We believe that its current disclosure policy is appropriate for the venue. Symantec will continue to operate with its separate disclosure policy. Sincerly, Elias Levy, David Ahmad, and the rest of the SecurityFocus staff ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 18 11:44:26 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 18 Jul 2002 11:44:26 -0300 Subject: [SECURITY-L] Cresce o =?iso-8859-1?Q?n=FAmero_de_invas?= =?iso-8859-1?B?9WVz?= a sites Linux Message-ID: <20020718144426.GB1721@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Cresce o número de invasões a sites Linux To: undisclosed-recipients: ; Date: Thu, 18 Jul 2002 07:47:28 -0300 Cresce o número de invasões a sites Linux Fonte: IDG Now! O número de sites baseados em Linux invadidos e alterados por hackers cresceu significativamente no primeiro semestre de 2002, segundo estudo divulgado pela empresa de segurança inglesa mi2g. No período, foram registradas 7.630 pichações em páginas rodando o sistema de código aberto - muito acima das 5.736 contabilizadas durante o ano passado inteiro. Para efeitos de comparação, diz o estudo, nos sites rodando o servidor IIS (Internet Information Services), da Microsoft, o número bateu 9.404 no primeiro semestre de 2002 - 20% a menos que no período equivalente do ano passado. A empresa de consultoria obteve os dados através de elatórios de hackers e das vítimas e verificou os detalhes manualmente. O aumento de pichações nos ambientes Linux foi atribuído à proliferação do sistema de código aberto no mundo e ao atraso dos usuários em instalar as atualizações contra bugs nos servidores. No total, as alterações em sites - incluindo todos os sistemas operacionais - cresceu para 20.371 nos seis primeiros meses do ano - um aumento de 27% em comparação a 2001. Segundo o estudo, apenas 54 pichações foram contabilizadas em sites do governo americano - muito abaixo das 204 reportadas em período equivalente de 2001. "Parte desse declínio está relacionada à cobertura da mídia em relação às leis aprovadas nos EUA que ameaçam infrações dessa natureza", diz a pesquisa. [ Peter Sayer - Infoworld ] -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios From daniela em ccuec.unicamp.br Thu Jul 18 17:11:23 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 18 Jul 2002 17:11:23 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020718201123.GA2251@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 17/07/2002: ----------- Anúncio de segurança do Conectiva Linux (CLA-2002:512) Assunto: Estouro de buffer (pacote=libpng) http://www.security.unicamp.br/docs/bugs/2002/07/v47.txt Mandrake Linux Security Update Advisory (MDKSA-2002:044) Assunto: vulnerabilidade de seguranca no squid. http://www.security.unicamp.br/docs/bugs/2002/07/v48.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 19 08:36:14 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 19 Jul 2002 08:36:14 -0300 Subject: [SECURITY-L] =?iso-8859-1?Q?V=EDru?= =?iso-8859-1?Q?s?= se propaga por e-mail e rede local Message-ID: <20020719113613.GA3377@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Vírus se propaga por e-mail e rede local To: undisclosed-recipients: ; Date: Fri, 19 Jul 2002 08:29:38 -0300 Vírus se propaga por e-mail e rede local SÃO PAULO - O vírus W32/Holar em mm se propaga por e-mail, pelo MSN Messenger e ainda via drives de rede. Ele chega como anexo de e-mail e explora uma vulnerabilidade do Internet Explorer, nas versões 5.x. O anexo que traz o Holar é um arquivo PIF cujo nome é o mesmo de um nome de arquivo qualquer selecionado pelo invasor no diretório Meus Documentos. Uma vez executado, o Holar copia para o diretório de sistema os arquivos CmdServ.exe e WarIII.eml. O invasor também faz modificações no Registro do Windows para ser executado durante a inicialização do sistema. O Holar tenta se auto-enviar à lista de endereços do Outlook, aos contatos do MSN Messenger e a endereços encontrados em arquivos HTML encontrados no sistema. Se o destinatário do e-mail usa o IE 5.x sem atualizações de segurança, o vírus pode ser disparado automaticamente quando a mensagem for visualizada. Fonte: Carlos Machado, da INFO -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 19 10:47:57 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 19 Jul 2002 10:47:57 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20020719134756.GA3614@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 17/07/2002: ----------- SANS NewsBites Vol. 4 Num. 29 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2002/07/b7.txt Módulo Security News no. 252 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2002/07/b8.txt -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Mon Jul 22 10:50:08 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 22 Jul 2002 10:50:08 -0300 Subject: [SECURITY-L] PHP Security Advisory: Vulnerability in PHP versions 4.2.0 and 4.2.1 Message-ID: <20020722135007.GB388@ccuec.unicamp.br> ----- Forwarded message from Marko Karppinen ----- From: Marko Karppinen Subject: PHP Security Advisory: Vulnerability in PHP versions 4.2.0 and 4.2.1 To: Date: Mon, 22 Jul 2002 13:59:57 +0300 PHP Security Advisory: Vulnerability in PHP versions 4.2.0 and 4.2.1 Issued on: July 22, 2002 Software: PHP versions 4.2.0 and 4.2.1 Platforms: All The PHP Group has learned of a serious security vulnerability in PHP versions 4.2.0 and 4.2.1. An intruder may be able to execute arbitrary code with the privileges of the web server. This vulnerability may be exploited to compromise the web server and, under certain conditions, to gain privileged access. Description PHP contains code for intelligently parsing the headers of HTTP POST requests. The code is used to differentiate between variables and files sent by the user agent in a "multipart/form-data" request. This parser has insufficient input checking, leading to the vulnerability. The vulnerability is exploitable by anyone who can send HTTP POST requests to an affected web server. Both local and remote users, even from behind firewalls, may be able to gain privileged access. Impact Both local and remote users may exploit this vulnerability to compromise the web server and, under certain conditions, to gain privileged access. So far only the IA32 platform has been verified to be safe from the execution of arbitrary code. The vulnerability can still be used on IA32 to crash PHP and, in most cases, the web server. Solution The PHP Group has released a new PHP version, 4.2.2, which incorporates a fix for the vulnerability. All users of affected PHP versions are encouraged to upgrade to this latest version. The downloads web site at http://www.php.net/downloads.php has the new 4.2.2 source tarballs, Windows binaries and source patches from 4.2.0 and 4.2.1 available for download. Workaround If the PHP applications on an affected web server do not rely on HTTP POST input from user agents, it is often possible to deny POST requests on the web server. In the Apache web server, for example, this is possible with the following code included in the main configuration file or a top-level .htaccess file: Order deny,allow Deny from all Note that an existing configuration and/or .htaccess file may have parameters contradicting the example given above. Credits The PHP Group would like to thank Stefan Esser of e-matters GmbH for discovering this vulnerability. Copyright (c) 2002 The PHP Group. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 22 16:05:07 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 22 Jul 2002 16:05:07 -0300 Subject: [SECURITY-L] I =?iso-8859-1?Q?SEMIN=C1RIO_NACIONAL_DE_P?= =?iso-8859-1?Q?ER=CDCIA_EM_CRIMES_DE_INFORM=C1TICA?= Message-ID: <20020722190506.GA898@ccuec.unicamp.br> ---- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] I SEMINÁRIO NACIONAL DE PERÍCIA EM CRIMES DE INFORMÁTICA To: seguranca em pangeia.com.br Date: Fri, 19 Jul 2002 17:00:13 -0300 [http://www.espindula.com.br/seminario] IV SEMINÁRIO NACIONAL DE FONÉTICA FORENSE I SEMINÁRIO NACIONAL DE PERÍCIA EM CRIMES DE INFORMÁTICA Período: 27 a 30 de novembro de 2002 Local: Auditório do Ponta Verde Praia Hotel, Maceió, AL (Av. Álvaro Otacílio, nº 2933, Praia de Ponta Verde Inscrição de Trabalhos A importância que a Fonética Forense representa na produção da prova pericial nos faz promover mais esta edição, visando colaborar com o desenvolvimento científico na Criminalística brasileira. Seminário altamente especializado, a Comissão Organizadora está procurando trazer à discussão, assuntos sobre: Fonética articulatória; Autenticidades de gravações em mídias; Utilização de software; Fonologia do Português; Comparação de Vozes; Coleta de padrão de voz; Melhoria da inteligibilidade de gravações; Comportamento de voz em sistemas telefônicos; etc. A Associação Brasileira de Criminalística, sintonizada com as necessidades de seus cientistas forenses, resolveu criar mais um evento especializado. Os Crimes de Informática englobam uma variedade de situações, exigindo dos Peritos Criminais profundos conhecimentos, a fim de atender essa demanda crescente de perícias. Muitos são os assuntos a serem tratados, inclusive aqueles que interagem com a Fonética Forense, mas queremos receber de vocês as sugestões, por intermédio da inscrição de trabalhos científicos para apresentação nesses eventos. A título de exemplo, podemos citar alguns temas que pretendemos incentivar a discussão durante o evento, como: Local de crime virtual; Legislação nacional e tratados internacionais; Preservação de evidências virtuais; Métodos de espelhamento; Operação de interceptação telemática; Evidências em plataformas Windows; Evidências em plataformas UNIX; Ferramentas utilizadas pelos agressores; Mecanismos de segurança da informação (Criptografia e Segurança Digital); Falhas e vulnerabilidades dos sistemas computacionais; Vulnerabilidades das redes sem fio (wireless); Ataques aos ativos de rede; Auditoria de sistemas computacionais; Novos crimes na Internet; etc. [...] ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 24 09:20:44 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 24 Jul 2002 09:20:44 -0300 Subject: [SECURITY-L] Bug no PHP permite invasao do servidor web Message-ID: <20020724122044.GB3884@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Bug no PHP permite invasão do servidor web To: undisclosed-recipients: ; Date: Mon, 22 Jul 2002 17:50:00 -0300 Bug no PHP permite invasão do servidor web Segunda-feira, 22 de julho de 2002 - 16h38 SÃO PAULO - O PHP Group, entidade que desenvolve a linguagem PHP, uma das mais populares da internet, publicou nesta segunda-feira um alerta de segurança sobre o produto. Segundo o grupo, existe uma brecha de segurança nas versões 4.2.0 e 4.2.1 da linguagem que permite a execução de código no servidor web e o controle remoto do sistema. A brecha localiza-se no mecanismo que analisa os cabeçalhos de solicitações HTTP Posts. Em certos casos, o analisador falha, permitindo a invasão do site. Como solução para o problema, o PHP Group recomenda a instalação da versão 4.2.2 do PHP, que já incorpora uma correção. Endereço para download: www.uol.com.br/info/aberto/download/2550.shl . Fonte: Carlos Machado, da INFO -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 25 14:29:21 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 25 Jul 2002 14:29:21 -0300 Subject: [SECURITY-L] ISS Advisory: Remote Buffer Overflow Vulnerability in Microsoft Exchange Server Message-ID: <20020725172921.GH5830@ccuec.unicamp.br> ----- Forwarded message from Cristine Hoepers ----- From: Cristine Hoepers Subject: [S] ISS Advisory: Remote Buffer Overflow Vulnerability in Microsoft Exchange Server To: seguranca em pangeia.com.br Date: Thu, 25 Jul 2002 09:45:34 -0300 X-Mailer: Mutt 1.0.1i [http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20759] Internet Security Systems Security Advisory July 24, 2002 Remote Buffer Overflow Vulnerability in Microsoft Exchange Server Synopsis: Microsoft Exchange Server Internet Mail Connector (IMC) provides SMTP (Simple Mail Transfer Protocol) functionality. It is possible for remote attackers to formulate a request to trigger a buffer overflow on a vulnerable Exchange server. This flaw may allow an attacker to either crash Exchange and block all inbound and outbound email delivery or allow an attacker to gain complete control of the server. Impact: Microsoft Exchange Server is typically exposed to the Internet in order to send and receive email. Successful exploitation of this vulnerability can occur through properly configured firewalls. Microsoft Exchange 5.5 is the most heavily deployed version of Exchange on the Internet. Microsoft reports that over 100 million Exchange licenses have been sold (http://www.microsoft.com/presspass/Press/2002/Jan02/01-23MarketLeaderPR. asp). Affected Versions: Microsoft Exchange Server version 5.5 Description: IMC is Microsofts implementation of SMTP, which is used to facilitate the majority of email transactions on the Internet. SMTP consists of several basic operations that email clients and servers use to identify one another and deliver email. The "EHLO" command is one of these basic operations. A flaw exists in how the Exchange IMC handles EHLO commands, which are used to query other servers to obtain a list of supported SMTP operations. When an EHLO command is executed, the queried server attempts to identify the client by way of a reverse DNS lookup. When an email client connects to the SMTP service and issues an EHLO command, the server formulates the following response to be delivered to the client: [email server name] hello [client DNS name] The [email server name] is the name of the system running the email server. The [client DNS name] is the name the IMC obtains by performing a reverse DNS name lookup on the client IP address. Although DNS names can be up to 255 characters in length, the stack buffer used to formulate the message is not large enough to accommodate the entire message. Specifically, a flaw exists in that the buffer is too small for the email server name, " hello " text, and the client DNS name. Therefore, with a valid DNS reverse lookup address, an attacker can trigger the buffer overflow vulnerability. Since a test EHLO command can be issued to query the email server name, the buffer overflow can be triggered very reliably. The IMC service runs under the superuser, or SYSTEM security context. This vulnerability can be exploited by attackers using their own DNS server and controlling reverse lookup responses, or by employing DNS spoofing techniques. Recommendations: ISS X-Force recommends that all affected Exchange customers apply the workaround supplied in the Microsoft Knowledge Base article Q190026, available here: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q190026 Microsoft has also made the following patch available to correct this vulnerability: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40666 Note: Microsoft Exchange Server Pack 4 must be installed in order to apply this patch. Detection and assessment support for this vulnerability will be included in future X-Press Updates for RealSecure Network Sensor 6.x and 7.0 and Internet Scanner. Internet Scanner X-Press Update 6.15 will include a check to find vulnerable Exchange servers. XPU 6.15 will be available soon from the ISS Download Center at: http://www.iss.net/download. Additional Information: The Common Vulnerabilities and Exposures (CVE) project has assigned the name CAN-2002-0698 to this issue. This is a candidate for inclusion in the CVE list (http://cve.mitre.org), which standardizes names for security problems. Microsoft Security Bulletin http://www.microsoft.com/technet/security/bulletin/MS02-037.asp Credits: The vulnerability described in this advisory was discovered and researched by Nishad Herath of the ISS X-Force. ______ About Internet Security Systems (ISS) Founded in 1994, Internet Security Systems (ISS) (Nasdaq: ISSX) is a pioneer and world leader in software and services that protect critical online resources from an ever-changing spectrum of threats and misuse. Internet Security Systems is headquartered in Atlanta, GA, with additional operations throughout the Americas, Asia, Australia, Europe and the Middle East. Copyright (c) 2002 Internet Security Systems, Inc. All rights reserved worldwide. Permission is hereby granted for the electronic redistribution of this document. It is not to be edited or altered in any way without the express written consent of the Internet Security Systems X-Force. If you wish to reprint the whole or any part of this document in any other medium excluding electronic media, please email xforce em iss.net for permission. Disclaimer: The information within this paper may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are NO warranties, implied or otherwise, with regard to this information or its use. Any use of this information is at the user's risk. In no event shall the author/distributor (Internet Security Systems X-Force) be held liable for any damages whatsoever arising out of or in connection with the use or spread of this information. X-Force PGP Key available on MIT's PGP key server and PGP.com's key server, as well as at http://www.iss.net/security_center/sensitive.php Please send suggestions, updates, and comments to: X-Force xforce em iss.net of Internet Security Systems, Inc. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 25 17:00:47 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 25 Jul 2002 17:00:47 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020725200047.GA22476@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 22/07/2002: ----------- PHP Security Advisory Assunto: Vulnerability in PHP versions 4.2.0 and 4.2.1 http://www.security.unicamp.br/docs/bugs/2002/07/v49.txt CAIS-ALERTA Assunto: Vulnerabilidade no PHP 4.2.0 e 4.2.1. http://www.security.unicamp.br/docs/bugs/2002/07/v50.txt Caldera International, Inc. Security Advisory (CSSA-2002-SCO.35) Assunto: OpenServer 5.0.5 OpenServer 5.0.6 : crontab format string vulnerability. http://www.security.unicamp.br/docs/bugs/2002/07/v51.txt CERT Advisory CA-2002-21 Assunto: Vulnerability in PHP. http://www.security.unicamp.br/docs/bugs/2002/07/v52.txt 23/07/2002: ----------- CAIS-ALERTA Assunto: CERT Advisory CA-2002-21 Vulnerability in PHP. http://www.security.unicamp.br/docs/bugs/2002/07/v53.txt 24/07/2002: ----------- Cisco Security Advisory Assunto: Heap Overflow in Solaris cachefs Daemon. http://www.security.unicamp.br/docs/bugs/2002/07/v54.txt EnGarde Secure Linux Security Advisory (ESA-20020724-018) Assunto: Buffer overflow in BIND4-derived resolver code. http://www.security.unicamp.br/docs/bugs/2002/07/v55.txt Microsoft Security Bulletin (MS02-037) Assunto: Server Response To SMTP Client EHLO Command Results In Buffer Overrun (Q326322). http://www.security.unicamp.br/docs/bugs/2002/07/v56.txt Microsoft Security Bulletin (MS02-038) Assunto: Cumulative Patch for SQL Server 2000 Service Pack 2 (Q316333). http://www.security.unicamp.br/docs/bugs/2002/07/v57.txt Microsoft Security Bulletin (MS02-039) Assunto: Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875). http://www.security.unicamp.br/docs/bugs/2002/07/v58.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 26 11:38:28 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 26 Jul 2002 11:38:28 -0300 Subject: [SECURITY-L] =?iso-8859-1?Q?Cart=F3rio_da_Para=EDba_faz?= =?iso-8859-1?Q?_autentica=E7=E3o?= digital de documentos Message-ID: <20020726143827.GC23646@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] Cartório da Paraíba faz autenticação digital de documentos To: seguranca em pangeia.com.br Date: Thu, 25 Jul 2002 09:43:36 -0300 [http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1027534668,14302,] Cartório da Paraíba faz autenticação digital de documentos 24/7/2002 - 15:17 Redação InfoGuerra O cartório Azevêdo Bastos, o mais antigo da Paraíba, está oferecendo a seus clientes um serviço de autenticação digital de documentos. O sistema permite que qualquer pessoa obtenha cópias eletrônicas de seus documentos, com autenticidade e validade jurídica. O processo é simples. O documento original ou cópia do mesmo a ser autenticado é primeiramente escaneado e depois codificado por um software específico que o transforma em imagem e em um texto legível, o qual pode ser editado e pesquisado. Após essa etapa, o mesmo documento é salvo no próprio sistema do cartório, e gera uma cópia que fica com o cliente. A autenticação é garantida por um carimbo "virtual", que é gravado por cima da imagem. Com o documento autenticado digitalmente, a pessoa poderá imprimir quantas cópias quiser, ou até enviá-lo pela Internet. "Investimos cerca de US$ 10 mil para implantação da solução de Gerenciamento Eletrônico de Documentos (GED), scanner e impressora profissionais, indispensáveis para garantir a qualidade do serviço", afirma Válber Azevêdo, titular do cartório Azevêdo Bastos. Segundo Azevêdo, "o sistema é altamente seguro, pois a pessoa que obtiver o CD de qualquer documento digitalizado só poderá imprimi-lo, mas nunca alterar o conteúdo digitalizado". Para digitalizar os documentos, o cartório da Paraíba está utilizando software da LaserFiche, empresa norte-americana especializada em GED. Isabel Fumero, gerente regional para o Brasil da LaserFiche, acredita que com o avanço da autenticação digital no país outros cartórios adotarão a mesma tecnologia, que serve também para tornar eletrônico qualquer documento. O próprio cartório Azêvedo Bastos já oferece serviços gerais de GED para substituir as fotocópias. "Um advogado, por exemplo, que queira guardar uma cópia de um processo, em vez de fazer uma fotocópia, poderá digitalizá-lo e guardá-lo em CD, disquete ou DVD ou qualquer outra mídia compatível com o sistema", explica Azêvedo. "Isto garante durabilidade ao documento, pois o mesmo não correrá o risco de deteriorar-se com o manuseio, além de permitir uma pesquisa rápida e inúmeras impressões, quando necessário", finaliza. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 26 11:57:57 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 26 Jul 2002 11:57:57 -0300 Subject: [SECURITY-L] Media Player tem =?iso-8859-1?Q?vers=E3?= =?iso-8859-1?Q?o?= 2 de pacote antibug Message-ID: <20020726145756.GI23646@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Media Player tem versão 2 de pacote antibug To: undisclosed-recipients: ; Date: Fri, 26 Jul 2002 07:37:35 -0300 Media Player tem versão 2 de pacote antibug Quinta-feira, 25 de julho de 2002 - 12h38 SÃO PAULO - A Microsoft liberou nesta quinta-feira uma revisão do pacote antibug para o Windows Media Player publicado em 26 de junho. Segundo a empresa, a primeira versão deixou de incluir um arquivo. Por causa desse arquivo, três brechas de segurança ficaram a descoberto. Uma delas, considerada séria, permite a invasão da máquina. Para fazer o download do novo pacote, vá ao endereço www.uol.com.br/info/aberto/download/2625.shl . Fonte: Carlos Machado, da INFO -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 26 11:59:16 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 26 Jul 2002 11:59:16 -0300 Subject: [SECURITY-L] MS corrige novos bugs no SQL Server 2000 Message-ID: <20020726145916.GJ23646@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: MS corrige novos bugs no SQL Server 2000 To: undisclosed-recipients: ; Date: Fri, 26 Jul 2002 07:39:09 -0300 MS corrige novos bugs no SQL Server 2000 Quinta-feira, 25 de julho de 2002 - 20h28 SÃO PAULO - A Microsoft publicou nesta quinta-feira mais dois boletins de segurança corrigindo bugs no banco de dados SQL Server 2000. No total, os dois boletins eliminam cinco pontos vulneráveis no produto. O primeiro boletim (MS02-038) apresenta uma correção que é um adendo ao SQL Server Service Pack 2. Ou seja, para aplicar essa correção, é necessário instalar antes o SP2. Para fazer o download, vá ao endereço www.uol.com.br/info/aberto/download/2422.shl . O outro boletim (MS02-039) corrige três vulnerabilidades, entre as quais uma que permite a um hacker mal-intencionado assumir o controle de uma instalação SQL Server 2000 durante a instalação. Diferentemente da primeira correção, essa não exige o SP2, mas pode ser aplicada em sistemas com o SP2 instalado. O download está no endereço www.uol.com.br/info/aberto/download/2799.shl . FOnte: Carlos Machado, da INFO -- Andre Ap. Nogueira Faculdade de Eng. Agricola - UNICAMP Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 30 12:06:43 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 30 Jul 2002 12:06:43 -0300 Subject: [SECURITY-L] OpenSSL Security Altert - Remote Buffer Overflows Message-ID: <20020730150642.GP2583@ccuec.unicamp.br> ----- Forwarded message from Ben Laurie ----- From: Ben Laurie Subject: OpenSSL Security Altert - Remote Buffer Overflows To: OpenSSL Announce , Bugtraq , Apache SSL Announce Date: Tue, 30 Jul 2002 10:58:19 +0100 OpenSSL Security Advisory [30 July 2002] This advisory consists of two independent advisories, merged, and is an official OpenSSL advisory. Advisory 1 ========== A.L. Digital Ltd and The Bunker (http://www.thebunker.net/) are conducting a security review of OpenSSL, under the DARPA program CHATS. Vulnerabilities --------------- All four of these are potentially remotely exploitable. 1. The client master key in SSL2 could be oversized and overrun a buffer. This vulnerability was also independently discovered by consultants at Neohapsis (http://www.neohapsis.com/) who have also demonstrated that the vulerability is exploitable. Exploit code is NOT available at this time. 2. The session ID supplied to a client in SSL3 could be oversized and overrun a buffer. 3. The master key supplied to an SSL3 server could be oversized and overrun a stack-based buffer. This issues only affects OpenSSL 0.9.7 before 0.9.7-beta3 with Kerberos enabled. 4. Various buffers for ASCII representations of integers were too small on 64 bit platforms. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2002-0656 to issues 1-2, CAN-2002-0657 to issue 3, and CAN-2002-0655 to issue 4. In addition various potential buffer overflows not known to be exploitable have had assertions added to defend against them. Who is affected? ---------------- Everyone using OpenSSL 0.9.6d or earlier, or 0.9.7-beta2 or earlier or current development snapshots of 0.9.7 to provide SSL or TLS is vulnerable, whether client or server. 0.9.6d servers on 32-bit systems with SSL 2.0 disabled are not vulnerable. SSLeay is probably also affected. Recommendations --------------- Apply the attached patch to OpenSSL 0.9.6d, or upgrade to OpenSSL 0.9.6e. Recompile all applications using OpenSSL to provide SSL or TLS. A patch for 0.9.7 is available from the OpenSSL website (http://www.openssl.org/). Servers can disable SSL2, alternatively disable all applications using SSL or TLS until the patches are applied. Users of 0.9.7 pre-release versions with Kerberos enabled will also have to disable Kerberos. Client should be disabled altogether until the patches are applied. Known Exploits -------------- There are no know exploits available for these vulnerabilities. As noted above, Neohapsis have demonstrated internally that an exploit is possible, but have not released the exploit code. References ---------- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0655 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0656 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0657 Acknowledgements ---------------- The project leading to this advisory is sponsored by the Defense Advanced Research Projects Agency (DARPA) and Air Force Research Laboratory, Air Force Materiel Command, USAF, under agreement number F30602-01-2-0537. The patch and advisory were prepared by Ben Laurie. Advisory 2 ========== Vulnerabilities --------------- The ASN1 parser can be confused by supplying it with certain invalid encodings. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2002-0659 to this issue. Who is affected? ---------------- Any OpenSSL program which uses the ASN1 library to parse untrusted data. This includes all SSL or TLS applications, those using S/MIME (PKCS#7) or certificate generation routines. Recommendations --------------- Apply the patch to OpenSSL, or upgrade to OpenSSL 0.9.6e. Recompile all applications using OpenSSL. Users of 0.9.7 pre-release versions should apply the patch or upgrade to 0.9.7-beta3 or later. Recompile all applications using OpenSSL. Exploits -------- There are no known exploits for this vulnerability. References ---------- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0659 Acknowledgements ---------------- This vulnerability was discovered by Adi Stav and James Yonan independently. The patch is partly based on a version by Adi Stav. The patch and advisory were prepared by Dr. Stephen Henson. -- http://www.apache-ssl.org/ben.html http://www.thebunker.net/ Available for contract work. "There is no limit to what a man can do or how far he can go if he doesn't mind who gets the credit." - Robert Woodruff Index: CHANGES =================================================================== RCS file: /e/openssl/cvs/openssl/CHANGES,v retrieving revision 1.618.2.158 diff -u -r1.618.2.158 CHANGES --- CHANGES 2002/05/09 22:40:31 1.618.2.158 +++ CHANGES 2002/07/30 09:14:15 @@ -2,6 +2,35 @@ OpenSSL CHANGES _______________ + Changes in security patch + +Changes marked "(CHATS)" were sponsored by the Defense Advanced +Research Projects Agency (DARPA) and Air Force Research Laboratory, +Air Force Materiel Command, USAF, under agreement number +F30602-01-2-0537. + + *) Add various sanity checks to asn1_get_length() to reject + the ASN1 length bytes if they exceed sizeof(long), will appear + negative or the content length exceeds the length of the + supplied buffer. (CAN-2002-0659) + [Steve Henson, Adi Stav , James Yonan ] + + *) Assertions for various potential buffer overflows, not known to + happen in practice. + [Ben Laurie (CHATS)] + + *) Various temporary buffers to hold ASCII versions of integers were + too small for 64 bit platforms. (CAN-2002-0655) + [Matthew Byng-Maddick and Ben Laurie (CHATS)> + + *) Remote buffer overflow in SSL3 protocol - an attacker could + supply an oversized session ID to a client. (CAN-2002-0656) + [Ben Laurie (CHATS)] + + *) Remote buffer overflow in SSL2 protocol - an attacker could + supply an oversized client master key. (CAN-2002-0656) + [Ben Laurie (CHATS)] + Changes between 0.9.6c and 0.9.6d [9 May 2002] *) Fix crypto/asn1/a_sign.c so that 'parameters' is omitted (not Index: crypto/cryptlib.c =================================================================== RCS file: /e/openssl/cvs/openssl/crypto/cryptlib.c,v retrieving revision 1.20.2.4 diff -u -r1.20.2.4 cryptlib.c --- crypto/cryptlib.c 2001/11/23 20:57:59 1.20.2.4 +++ crypto/cryptlib.c 2002/07/30 09:14:15 @@ -491,3 +491,11 @@ #endif #endif + +void OpenSSLDie(const char *file,int line,const char *assertion) + { + fprintf(stderr,"%s(%d): OpenSSL internal error, assertion failed: %s\n", + file,line,assertion); + abort(); + } + Index: crypto/cryptlib.h =================================================================== RCS file: /e/openssl/cvs/openssl/crypto/cryptlib.h,v retrieving revision 1.8 diff -u -r1.8 cryptlib.h --- crypto/cryptlib.h 2000/05/02 12:35:04 1.8 +++ crypto/cryptlib.h 2002/07/30 09:14:16 @@ -89,6 +89,14 @@ #define X509_CERT_DIR_EVP "SSL_CERT_DIR" #define X509_CERT_FILE_EVP "SSL_CERT_FILE" +/* size of string represenations */ +#define DECIMAL_SIZE(type) ((sizeof(type)*8+2)/3+1) +#define HEX_SIZE(type) ((sizeof(type)*2) + +/* die if we have to */ +void OpenSSLDie(const char *file,int line,const char *assertion); +#define die(e) ((e) ? (void)0 : OpenSSLDie(__FILE__, __LINE__, #e)) + #ifdef __cplusplus } #endif Index: crypto/asn1/asn1_lib.c =================================================================== RCS file: /e/openssl/cvs/openssl/crypto/asn1/asn1_lib.c,v retrieving revision 1.19.2.1 diff -u -r1.19.2.1 asn1_lib.c --- crypto/asn1/asn1_lib.c 2001/03/30 13:42:32 1.19.2.1 +++ crypto/asn1/asn1_lib.c 2002/07/30 09:14:17 @@ -124,15 +124,13 @@ (int)(omax+ *pp)); #endif -#if 0 - if ((p+ *plength) > (omax+ *pp)) + if (*plength > (omax - (*pp - p))) { ASN1err(ASN1_F_ASN1_GET_OBJECT,ASN1_R_TOO_LONG); /* Set this so that even if things are not long enough * the values are set correctly */ ret|=0x80; } -#endif *pp=p; return(ret|inf); err: @@ -159,6 +157,8 @@ i= *p&0x7f; if (*(p++) & 0x80) { + if (i > sizeof(long)) + return 0; if (max-- == 0) return(0); while (i-- > 0) { @@ -170,6 +170,8 @@ else ret=i; } + if (ret < 0) + return 0; *pp=p; *rl=ret; return(1); @@ -407,7 +409,7 @@ void asn1_add_error(unsigned char *address, int offset) { - char buf1[16],buf2[16]; + char buf1[DECIMAL_SIZE(address)+1],buf2[DECIMAL_SIZE(offset)+1]; sprintf(buf1,"%lu",(unsigned long)address); sprintf(buf2,"%d",offset); Index: crypto/conf/conf_def.c =================================================================== RCS file: /e/openssl/cvs/openssl/crypto/conf/conf_def.c,v retrieving revision 1.3 diff -u -r1.3 conf_def.c --- crypto/conf/conf_def.c 2000/06/06 15:21:12 1.3 +++ crypto/conf/conf_def.c 2002/07/30 09:14:18 @@ -67,6 +67,7 @@ #include "conf_def.h" #include #include +#include "cryptlib.h" static char *eat_ws(CONF *conf, char *p); static char *eat_alpha_numeric(CONF *conf, char *p); @@ -180,12 +181,12 @@ static int def_load(CONF *conf, BIO *in, long *line) { #define BUFSIZE 512 - char btmp[16]; int bufnum=0,i,ii; BUF_MEM *buff=NULL; char *s,*p,*end; int again,n; long eline=0; + char btmp[DECIMAL_SIZE(eline)+1]; CONF_VALUE *v=NULL,*tv; CONF_VALUE *sv=NULL; char *section=NULL,*buf; Index: crypto/objects/obj_dat.c =================================================================== RCS file: /e/openssl/cvs/openssl/crypto/objects/obj_dat.c,v retrieving revision 1.16.2.2 diff -u -r1.16.2.2 obj_dat.c --- crypto/objects/obj_dat.c 2002/04/18 11:52:28 1.16.2.2 +++ crypto/objects/obj_dat.c 2002/07/30 09:14:19 @@ -428,7 +428,7 @@ unsigned long l; unsigned char *p; const char *s; - char tbuf[32]; + char tbuf[DECIMAL_SIZE(i)+DECIMAL_SIZE(l)+2]; if (buf_len <= 0) return(0); Index: ssl/s2_clnt.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/s2_clnt.c,v retrieving revision 1.27.2.4 diff -u -r1.27.2.4 s2_clnt.c --- ssl/s2_clnt.c 2001/11/10 10:43:51 1.27.2.4 +++ ssl/s2_clnt.c 2002/07/30 09:14:25 @@ -116,6 +116,7 @@ #include #include #include +#include "cryptlib.h" static SSL_METHOD *ssl2_get_client_method(int ver); static int get_server_finished(SSL *s); @@ -517,6 +518,7 @@ } s->s2->conn_id_length=s->s2->tmp.conn_id_length; + die(s->s2->conn_id_length <= sizeof s->s2->conn_id); memcpy(s->s2->conn_id,p,s->s2->tmp.conn_id_length); return(1); } @@ -618,6 +620,7 @@ /* make key_arg data */ i=EVP_CIPHER_iv_length(c); sess->key_arg_length=i; + die(i <= SSL_MAX_KEY_ARG_LENGTH); if (i > 0) RAND_pseudo_bytes(sess->key_arg,i); /* make a master key */ @@ -625,6 +628,7 @@ sess->master_key_length=i; if (i > 0) { + die(i <= sizeof sess->master_key); if (RAND_bytes(sess->master_key,i) <= 0) { ssl2_return_error(s,SSL2_PE_UNDEFINED_ERROR); @@ -668,6 +672,7 @@ d+=enc; karg=sess->key_arg_length; s2n(karg,p); /* key arg size */ + die(karg <= sizeof sess->key_arg); memcpy(d,sess->key_arg,(unsigned int)karg); d+=karg; @@ -688,6 +693,7 @@ { p=(unsigned char *)s->init_buf->data; *(p++)=SSL2_MT_CLIENT_FINISHED; + die(s->s2->conn_id_length <= sizeof s->s2->conn_id); memcpy(p,s->s2->conn_id,(unsigned int)s->s2->conn_id_length); s->state=SSL2_ST_SEND_CLIENT_FINISHED_B; @@ -944,6 +950,8 @@ { if (!(s->options & SSL_OP_MICROSOFT_SESS_ID_BUG)) { + die(s->session->session_id_length + <= sizeof s->session->session_id); if (memcmp(buf,s->session->session_id, (unsigned int)s->session->session_id_length) != 0) { Index: ssl/s2_lib.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/s2_lib.c,v retrieving revision 1.29.2.2 diff -u -r1.29.2.2 s2_lib.c --- ssl/s2_lib.c 2000/12/26 12:06:47 1.29.2.2 +++ ssl/s2_lib.c 2002/07/30 09:14:25 @@ -62,6 +62,7 @@ #include #include #include +#include "cryptlib.h" static long ssl2_default_timeout(void ); const char *ssl2_version_str="SSLv2" OPENSSL_VERSION_PTEXT; @@ -425,10 +426,14 @@ #endif km=s->s2->key_material; + die(s->s2->key_material_length <= sizeof s->s2->key_material); for (i=0; is2->key_material_length; i+=MD5_DIGEST_LENGTH) { MD5_Init(&ctx); + die(s->session->master_key_length >= 0 + && s->session->master_key_length + < sizeof s->session->master_key); MD5_Update(&ctx,s->session->master_key,s->session->master_key_length); MD5_Update(&ctx,&c,1); c++; @@ -463,6 +468,7 @@ /* state=s->rwstate;*/ error=s->error; s->error=0; + die(error >= 0 && error <= 3); i=ssl2_write(s,&(buf[3-error]),error); /* if (i == error) s->rwstate=state; */ Index: ssl/s2_srvr.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/s2_srvr.c,v retrieving revision 1.25.2.5 diff -u -r1.25.2.5 s2_srvr.c --- ssl/s2_srvr.c 2001/11/14 21:19:47 1.25.2.5 +++ ssl/s2_srvr.c 2002/07/30 09:14:26 @@ -116,6 +116,7 @@ #include #include #include +#include "cryptlib.h" static SSL_METHOD *ssl2_get_server_method(int ver); static int get_client_master_key(SSL *s); @@ -417,11 +418,18 @@ n2s(p,i); s->s2->tmp.clear=i; n2s(p,i); s->s2->tmp.enc=i; n2s(p,i); s->session->key_arg_length=i; + if(s->session->key_arg_length > SSL_MAX_KEY_ARG_LENGTH) + { + SSLerr(SSL_F_GET_CLIENT_MASTER_KEY, + SSL_R_KEY_ARG_TOO_LONG); + return -1; + } s->state=SSL2_ST_GET_CLIENT_MASTER_KEY_B; } /* SSL2_ST_GET_CLIENT_MASTER_KEY_B */ p=(unsigned char *)s->init_buf->data; + die(s->init_buf->length >= SSL2_MAX_RECORD_LENGTH_3_BYTE_HEADER); keya=s->session->key_arg_length; len = 10 + (unsigned long)s->s2->tmp.clear + (unsigned long)s->s2->tmp.enc + (unsigned long)keya; if (len > SSL2_MAX_RECORD_LENGTH_3_BYTE_HEADER) @@ -502,6 +510,7 @@ #endif if (is_export) i+=s->s2->tmp.clear; + die(i <= SSL_MAX_MASTER_KEY_LENGTH); s->session->master_key_length=i; memcpy(s->session->master_key,p,(unsigned int)i); return(1); @@ -649,6 +658,7 @@ p+=s->s2->tmp.session_id_length; /* challenge */ + die(s->s2->challenge_length <= sizeof s->s2->challenge); memcpy(s->s2->challenge,p,(unsigned int)s->s2->challenge_length); return(1); mem_err: @@ -800,6 +810,7 @@ } /* SSL2_ST_GET_CLIENT_FINISHED_B */ + die(s->s2->conn_id_length <= sizeof s->s2->conn_id); len = 1 + (unsigned long)s->s2->conn_id_length; n = (int)len - s->init_num; i = ssl2_read(s,(char *)&(p[s->init_num]),n); @@ -825,6 +836,7 @@ { p=(unsigned char *)s->init_buf->data; *(p++)=SSL2_MT_SERVER_VERIFY; + die(s->s2->challenge_length <= sizeof s->s2->challenge); memcpy(p,s->s2->challenge,(unsigned int)s->s2->challenge_length); /* p+=s->s2->challenge_length; */ @@ -844,6 +856,8 @@ p=(unsigned char *)s->init_buf->data; *(p++)=SSL2_MT_SERVER_FINISHED; + die(s->session->session_id_length + <= sizeof s->session->session_id); memcpy(p,s->session->session_id, (unsigned int)s->session->session_id_length); /* p+=s->session->session_id_length; */ Index: ssl/s3_clnt.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/s3_clnt.c,v retrieving revision 1.31.2.6 diff -u -r1.31.2.6 s3_clnt.c --- ssl/s3_clnt.c 2002/01/14 23:42:35 1.31.2.6 +++ ssl/s3_clnt.c 2002/07/30 09:14:27 @@ -117,6 +117,7 @@ #include #include #include "ssl_locl.h" +#include "cryptlib.h" static SSL_METHOD *ssl3_get_client_method(int ver); static int ssl3_client_hello(SSL *s); @@ -545,6 +546,7 @@ *(p++)=i; if (i != 0) { + die(i <= sizeof s->session->session_id); memcpy(p,s->session->session_id,i); p+=i; } @@ -625,6 +627,14 @@ /* get the session-id */ j= *(p++); + + if(j > sizeof s->session->session_id) + { + al=SSL_AD_ILLEGAL_PARAMETER; + SSLerr(SSL_F_SSL3_GET_SERVER_HELLO, + SSL_R_SSL3_SESSION_ID_TOO_LONG); + goto f_err; + } if ((j != 0) && (j != SSL3_SESSION_ID_SIZE)) { Index: ssl/s3_srvr.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/s3_srvr.c,v retrieving revision 1.49.2.14 diff -u -r1.49.2.14 s3_srvr.c --- ssl/s3_srvr.c 2002/04/13 22:49:26 1.49.2.14 +++ ssl/s3_srvr.c 2002/07/30 09:14:28 @@ -122,6 +122,7 @@ #include #include #include "ssl_locl.h" +#include "cryptlib.h" static SSL_METHOD *ssl3_get_server_method(int ver); static int ssl3_get_client_hello(SSL *s); @@ -948,6 +949,7 @@ s->session->session_id_length=0; sl=s->session->session_id_length; + die(sl <= sizeof s->session->session_id); *(p++)=sl; memcpy(p,s->session->session_id,sl); p+=sl; Index: ssl/ssl.h =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/ssl.h,v retrieving revision 1.85.2.12 diff -u -r1.85.2.12 ssl.h --- ssl/ssl.h 2002/01/14 23:42:42 1.85.2.12 +++ ssl/ssl.h 2002/07/30 09:14:29 @@ -1478,6 +1478,7 @@ #define SSL_R_INVALID_COMMAND 280 #define SSL_R_INVALID_PURPOSE 278 #define SSL_R_INVALID_TRUST 279 +#define SSL_R_KEY_ARG_TOO_LONG 1112 #define SSL_R_LENGTH_MISMATCH 159 #define SSL_R_LENGTH_TOO_SHORT 160 #define SSL_R_LIBRARY_BUG 274 @@ -1546,6 +1547,7 @@ #define SSL_R_SHORT_READ 219 #define SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE 220 #define SSL_R_SSL23_DOING_SESSION_ID_REUSE 221 +#define SSL_R_SSL3_SESSION_ID_TOO_LONG 1113 #define SSL_R_SSL3_SESSION_ID_TOO_SHORT 222 #define SSL_R_SSLV3_ALERT_BAD_CERTIFICATE 1042 #define SSL_R_SSLV3_ALERT_BAD_RECORD_MAC 1020 Index: ssl/ssl_asn1.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/ssl_asn1.c,v retrieving revision 1.8 diff -u -r1.8 ssl_asn1.c --- ssl/ssl_asn1.c 2000/06/01 22:19:19 1.8 +++ ssl/ssl_asn1.c 2002/07/30 09:14:29 @@ -62,6 +62,7 @@ #include #include #include "ssl_locl.h" +#include "cryptlib.h" typedef struct ssl_session_asn1_st { @@ -275,6 +276,7 @@ os.length=i; ret->session_id_length=os.length; + die(os.length <= sizeof ret->session_id); memcpy(ret->session_id,os.data,os.length); M_ASN1_D2I_get(osp,d2i_ASN1_OCTET_STRING); Index: ssl/ssl_err.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/ssl_err.c,v retrieving revision 1.28.2.6 diff -u -r1.28.2.6 ssl_err.c --- ssl/ssl_err.c 2001/11/10 01:15:29 1.28.2.6 +++ ssl/ssl_err.c 2002/07/30 09:14:30 @@ -1,6 +1,6 @@ /* ssl/ssl_err.c */ /* ==================================================================== - * Copyright (c) 1999 The OpenSSL Project. All rights reserved. + * Copyright (c) 1999-2002 The OpenSSL Project. All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions @@ -275,6 +275,7 @@ {SSL_R_INVALID_COMMAND ,"invalid command"}, {SSL_R_INVALID_PURPOSE ,"invalid purpose"}, {SSL_R_INVALID_TRUST ,"invalid trust"}, +{SSL_R_KEY_ARG_TOO_LONG ,"key arg too long"}, {SSL_R_LENGTH_MISMATCH ,"length mismatch"}, {SSL_R_LENGTH_TOO_SHORT ,"length too short"}, {SSL_R_LIBRARY_BUG ,"library bug"}, @@ -343,6 +344,7 @@ {SSL_R_SHORT_READ ,"short read"}, {SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE,"signature for non signing certificate"}, {SSL_R_SSL23_DOING_SESSION_ID_REUSE ,"ssl23 doing session id reuse"}, +{SSL_R_SSL3_SESSION_ID_TOO_LONG ,"ssl3 session id too long"}, {SSL_R_SSL3_SESSION_ID_TOO_SHORT ,"ssl3 session id too short"}, {SSL_R_SSLV3_ALERT_BAD_CERTIFICATE ,"sslv3 alert bad certificate"}, {SSL_R_SSLV3_ALERT_BAD_RECORD_MAC ,"sslv3 alert bad record mac"}, Index: ssl/ssl_sess.c =================================================================== RCS file: /e/openssl/cvs/openssl/ssl/ssl_sess.c,v retrieving revision 1.30.2.2 diff -u -r1.30.2.2 ssl_sess.c --- ssl/ssl_sess.c 2002/02/10 12:52:57 1.30.2.2 +++ ssl/ssl_sess.c 2002/07/30 09:14:30 @@ -60,6 +60,7 @@ #include #include #include "ssl_locl.h" +#include "cryptlib.h" static void SSL_SESSION_list_remove(SSL_CTX *ctx, SSL_SESSION *s); static void SSL_SESSION_list_add(SSL_CTX *ctx,SSL_SESSION *s); @@ -199,6 +200,7 @@ ss->session_id_length=0; } + die(s->sid_ctx_length <= sizeof ss->sid_ctx); memcpy(ss->sid_ctx,s->sid_ctx,s->sid_ctx_length); ss->sid_ctx_length=s->sid_ctx_length; s->session=ss; ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 31 10:24:50 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 31 Jul 2002 10:24:50 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20020731132449.GA4736@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 22/07/2002: ----------- Red Hat, Inc. Red Hat Security Advisory (RHSA-2002:139-10) Assunto: Updated glibc packages fix vulnerabilities in resolver. http://www.security.unicamp.br/docs/bugs/2002/07/v65.txt 25/07/2002: ----------- Internet Security Systems Security Advisory Assunto: Remote Buffer Overflow Vulnerability in Microsoft Exchange Server. http://www.security.unicamp.br/docs/bugs/2002/07/v59.txt CAIS-Alerta Assunto: Patch Acumulativo para o SQL Server 2000 Service Pack 2 (Q316333). http://www.security.unicamp.br/docs/bugs/2002/07/v60.txt CAIS-Alerta Assunto: Patch Acumulativo para o Windows Media Player (Q320920) (version 2.0). http://www.security.unicamp.br/docs/bugs/2002/07/v61.txt CAIS-Alerta Assunto: Vulnerabilidade no Microsoft Exchange 5.5 (Q326322). http://www.security.unicamp.br/docs/bugs/2002/07/v62.txt CAIS-Alerta Assunto: Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875). http://www.security.unicamp.br/docs/bugs/2002/07/v63.txt CAIS-Alerta Assunto: Vulnerabilidade no Microsoft Metadirectory Services (Q317138). http://www.security.unicamp.br/docs/bugs/2002/07/v64.txt 29/07/2002: ----------- REVISED: Red Hat, Inc. Red Hat Security Advisory (RHSA-2002:132-14) Assunto: Updated util-linux package fixes password locking race. http://www.security.unicamp.br/docs/bugs/2002/07/v66.txt CERT Advisory CA-2002-21 Assunto: Multiple Vulnerabilities in Microsoft SQL Server. http://www.security.unicamp.br/docs/bugs/2002/07/v67.txt Mandrake Linux Security Update Advisory (MDKSA-2002:045) Assunto: vulnerabilidade de seguranca na biblioteca mm. http://www.security.unicamp.br/docs/bugs/2002/07/v68.txt Red Hat, Inc. Red Hat Security Advisory (RHSA-2002:155-11) Assunto: Updated openssl packages fix remote vulnerabilities. http://www.security.unicamp.br/docs/bugs/2002/07/v70.txt Trustix Secure Linux Security Advisory #2002-0063 Assunto: vulnerabilidades de seguranca no openssl. http://www.security.unicamp.br/docs/bugs/2002/07/v72.txt REVISED: FreeBSD, Inc. Security Advisory (FreeBSD-SA-02:23) Assunto: insecure handling of stdio file descriptors. http://www.security.unicamp.br/docs/bugs/2002/07/v78.txt 30/07/2002: ----------- OpenSSL Security Advisory Assunto: vulnerabilidades de seguranca no openssl. http://www.security.unicamp.br/docs/bugs/2002/07/v69.txt Debian Security Advisory (DSA 136-1) Assunto: vulnerabilidades de seguranca no openssl. http://www.security.unicamp.br/docs/bugs/2002/07/v71.txt Trustix Secure Linux Security Advisory #2002-0064 Assunto: vulnerabilidade de seguranca no package util-linux. http://www.security.unicamp.br/docs/bugs/2002/07/v73.txt EnGarde Secure Linux Security Advisory (ESA-20020730-019) Assunto: vulnerabilidades de seguranca no openssl. http://www.security.unicamp.br/docs/bugs/2002/07/v74.txt CAIS-Alerta Assunto: CERT Advisory CA-2002-22 Multiplas Vulnerabilidades no SQL Server. http://www.security.unicamp.br/docs/bugs/2002/07/v75.txt Cisco Security Advisory Assunto: TFTP Long Filename Vulnerability. http://www.security.unicamp.br/docs/bugs/2002/07/v76.txt SuSE Security Announcement (SuSE-SA:2002:027) Assunto: vulnerabilidades de seguranca no openssl. http://www.security.unicamp.br/docs/bugs/2002/07/v77.txt Debian Security Advisory (DSA 137-1) Assunto: vulnerabilidade de seguranca no package mm. http://www.security.unicamp.br/docs/bugs/2002/07/v79.txt CAIS-Alerta Assunto: CERT Advisory CA-2002-23 Multiplas Vulnerabilidades no OpenSSL. http://www.security.unicamp.br/docs/bugs/2002/07/v80.txt CERT Advisory CA-2002-23 Assunto: Multiple Vulnerabilities In OpenSSL. http://www.security.unicamp.br/docs/bugs/2002/07/v81.txt Mandrake Linux Security Update Advisory (MDKSA-2002:046) Assunto: vulnerabilidades de seguranca no openssl. http://www.security.unicamp.br/docs/bugs/2002/07/v82.txt Caldera International, Inc. Security Advisory (CSSA-2002-032.0) Assunto: Linux: temporary file races in libmm. http://www.security.unicamp.br/docs/bugs/2002/07/v83.txt 31/07/2002: ----------- FreeBSD, Inc. Security Advisory (FreeBSD-SA-02:32) Assunto: exploitable race condition in pppd. http://www.security.unicamp.br/docs/bugs/2002/07/v84.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jul 31 12:03:47 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 31 Jul 2002 12:03:47 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20020731150347.GA4960@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticias e/ou revistas eletronicas: 22/07/2002: ----------- SecurityFocus.com Newsletter #154 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2002/07/b10.txt 24/07/2002: ----------- SANS NewsBites Vol. 4 Num. 30 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2002/07/b11.txt Módulo Security News no. 253 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2002/07/b12.txt 29/07/2002: ----------- SecurityFocus.com Newsletter #155 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2002/07/b13.txt -- Equipe de Seguranca em Sitemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jul 31 15:20:18 2002 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 31 Jul 2002 15:20:18 -0300 Subject: [SECURITY-L] ISS Security Brief: Remote Buffer Overflow Vulnerability in Sun RPC Message-ID: <20020731182018.GD4960@ccuec.unicamp.br> ----- Forwarded message from X-Force ----- From: X-Force Subject: [S] ISS Security Brief: Remote Buffer Overflow Vulnerability in Sun RPC To: issforum em iss.net Date: Wed, 31 Jul 2002 12:22:17 -0400 (EDT) TO UNSUBSCRIBE: email "unsubscribe issforum" in the body of your message to majordomo em iss.net Contact issforum-owner em iss.net for help with any problems! ---------------------------------------------------------------------------- -----BEGIN PGP SIGNED MESSAGE----- Internet Security Systems Security Brief July 31, 2002 Remote Buffer Overflow Vulnerability in Sun RPC Synopsis: Internet Security Systems (ISS) X-Force has discovered a buffer overflow in the xdr_array filter primitive. This function is a part of the Sun RPC library, and it is used in multiple RPC services. Any native or third party software that uses the xdr_array function may be vulnerable. Vulnerable RPC services are installed and enabled by default on the affected software versions. Impact: The buffer overflow vulnerability can allow remote attackers to execute arbitrary commands on a target system with superuser privileges. Attackers pose the most serious risk when attacking unprotected networks, or improperly protected networks Affected Versions: Sun Microsystems Solaris 2.5.1 Sun Microsystems Solaris 2.6 Sun Microsystems Solaris 7 Sun Microsystems Solaris 8 Sun Microsystems Solaris 9 Note: The versions above were tested and found to be vulnerable. Additional commercial and open-source Unix operating systems use implementations of Sun RPC, and may also be vulnerable. For the complete ISS X-Force Security Advisory, please visit: http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20823 ______ About Internet Security Systems (ISS) Founded in 1994, Internet Security Systems (ISS) (Nasdaq: ISSX) is a pioneer and world leader in software and services that protect critical online resources from an ever-changing spectrum of threats and misuse. Internet Security Systems is headquartered in Atlanta, GA, with additional operations throughout the Americas, Asia, Australia, Europe and the Middle East. Copyright (c) 2002 Internet Security Systems, Inc. All rights reserved worldwide. Permission is hereby granted for the electronic redistribution of this document. It is not to be edited or altered in any way without the express written consent of the Internet Security Systems X-Force. If you wish to reprint the whole or any part of this document in any other medium excluding electronic media, please email xforce em iss.net for permission. Disclaimer: The information within this paper may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are NO warranties, implied or otherwise, with regard to this information or its use. Any use of this information is at the user's risk. In no event shall the author/distributor (Internet Security Systems X-Force) be held liable for any damages whatsoever arising out of or in connection with the use or spread of this information. X-Force PGP Key available on MIT's PGP key server and PGP.com's key server, as well as at http://www.iss.net/security_center/sensitive.php Please send suggestions, updates, and comments to: X-Force xforce em iss.net of Internet Security Systems, Inc. -----BEGIN PGP SIGNATURE----- Version: 2.6.2 iQCVAwUBPUgOXzRfJiV99eG9AQG3NwQAqgUoyqctQpqzo6aZGXGVPFaSZtv5Qu85 kfPVlyJXL6crPQbelYtwAWolBI7qYGSE74lo4jRcpeI5lG/K8p39X66zHaZPAqZ7 fYZyEfIvJ3gCqtbowZSNUAvm1jdoFa0RVTwbuKmNPSGcDTebi+o7buWEG37HzdKO YUEiRp8erpg= =VTC/ -----END PGP SIGNATURE----- ----- End forwarded message -----