[SECURITY-L] CAIS-Alerta: Trojan Horse no Tcpdump e Libpcap
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qua Nov 13 15:04:41 -02 2002
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Trojan Horse no Tcpdump e Libpcap
To: <rnp-alerta em cais.rnp.br>, <rnp-seg em cais.rnp.br>
Date: Wed, 13 Nov 2002 14:50:36 -0200 (EDT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando informacoes tratando do comprometimento
dos pacotes Tcpdump e Libpcap onde foram identificadas a presenca de um
cavalo de troia. As primeiras informacoes sao de que as versoes foram
alteradas no dia 31/10/2002.
A versao alterada possui um trecho de codigo malicioso que e' executado
durante o processo de geracao dos binarios. Este codigo malicioso inicia
uma conexao em um servidor remoto, 212.146.0.34 (mars.raketti.net), na
porta 1963/tcp.
Sistemas afetados:
http://www.tcpdump.org/release/libpcap-0.7.1.tar.gz
http://www.tcpdump.org/release/tcpdump-3.6.2.tar.gz
http://www.tcpdump.org/release/tcpdump-3.7.1.tar.gz
MD5 Sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz
MD5 Sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz
Versoes corretas dos hashes MD5:
MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz
O CAIS recomenda aos administradores que sempre verifiquem a integridade
de pacotes antes de proceder com uma atualizacao ou instalacao.
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.0i for non-commercial use
Charset: noconv
iQCVAwUBPdKC6ukli63F4U8VAQFKYgP8CFPmWQ+ay1rjiO7wd9CubNRBNfC0vGEy
Sw+6izSAAK/te6Tx9x+mgF2Tamc0mSguDwKJm2VUqwDFHB1deiBGqsX2LCIDs8LI
HDn9sbCfrl20jAcDv9rEfCRgo8kCJ+nDXa/ETqjZW3uQpJzpFxbjOtDK8OLV35oy
T/K6yqFy+Vc=
=1ju9
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L