[SECURITY-L] CAIS-Alerta: Trojan Horse no Tcpdump e Libpcap

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qua Nov 13 15:04:41 -02 2002 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Trojan Horse no Tcpdump e Libpcap
To: <rnp-alerta em cais.rnp.br>, <rnp-seg em cais.rnp.br>
Date: Wed, 13 Nov 2002 14:50:36 -0200 (EDT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando informacoes tratando do comprometimento
dos pacotes Tcpdump e Libpcap onde foram identificadas a presenca de um
cavalo de troia. As primeiras informacoes sao de que as versoes foram
alteradas no dia 31/10/2002.

A versao alterada possui um trecho de codigo malicioso que e' executado
durante o processo de geracao dos binarios. Este codigo malicioso inicia
uma conexao em um servidor remoto, 212.146.0.34 (mars.raketti.net), na
porta 1963/tcp.


Sistemas afetados:

http://www.tcpdump.org/release/libpcap-0.7.1.tar.gz
http://www.tcpdump.org/release/tcpdump-3.6.2.tar.gz
http://www.tcpdump.org/release/tcpdump-3.7.1.tar.gz

MD5 Sum 73ba7af963aff7c9e23fa1308a793dca  libpcap-0.7.1.tar.gz
MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9  tcpdump-3.6.2.tar.gz
MD5 Sum 3c410d8434e63fb3931fe77328e4dd88  tcpdump-3.7.1.tar.gz


Versoes corretas dos hashes MD5:

MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7  libpcap-0.7.1.tar.gz
MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248  tcpdump-3.6.2.tar.gz
MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e  tcpdump-3.7.1.tar.gz


O CAIS recomenda aos administradores que sempre verifiquem a integridade
de pacotes antes de proceder com uma atualizacao ou instalacao.


Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP      #
#                                                              #
# cais em cais.rnp.br     http://www.cais.rnp.br                  #
# Tel. 019-37873300    Fax. 019-37873301                       #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################


-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.0i for non-commercial use
Charset: noconv

iQCVAwUBPdKC6ukli63F4U8VAQFKYgP8CFPmWQ+ay1rjiO7wd9CubNRBNfC0vGEy
Sw+6izSAAK/te6Tx9x+mgF2Tamc0mSguDwKJm2VUqwDFHB1deiBGqsX2LCIDs8LI
HDn9sbCfrl20jAcDv9rEfCRgo8kCJ+nDXa/ETqjZW3uQpJzpFxbjOtDK8OLV35oy
T/K6yqFy+Vc=
=1ju9
-----END PGP SIGNATURE-----



----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L