From daniela em ccuec.unicamp.br Fri Aug 1 09:00:39 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 1 Aug 2003 09:00:39 -0300 Subject: [SECURITY-L] CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC Interface Message-ID: <20030801120036.GB7671@ccuec.unicamp.br> ----- Forwarded message from CERT Advisory ----- From: CERT Advisory Subject: CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC Interface To: cert-advisory em cert.org Date: Thu, 31 Jul 2003 16:59:49 -0400 Organization: CERT(R) Coordination Center - +1 412-268-7090 -----BEGIN PGP SIGNED MESSAGE----- CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC Interface Original issue date: July 31, 2003 Last revised: - Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Microsoft Windows NT 4.0 * Microsoft Windows NT 4.0 Terminal Services Edition * Microsoft Windows 2000 * Microsoft Windows XP * Microsoft Windows Server 2003 Overview The CERT/CC is receiving reports of widespread scanning and exploitation of two recently discovered vulnerabilities in Microsoft Remote Procedure Call (RPC) Interface. I. Description Reports to the CERT/CC indicate that intruders are actively scanning for and exploiting a vulnerability in Microsoft's DCOM RPC interface as described in VU#568148 and CA-2003-16. Multiple exploits for this vulnerability have been publicly released, and there is active development of improved and automated exploit tools for this vulnerability. Known exploits target TCP port 135 and create a privileged backdoor command shell on successfully compromised hosts. Some versions of the exploit use TCP port 4444 for the backdoor, and other versions use a TCP port number specified by the intruder at run-time. We have also received reports of scanning activity for common backdoor ports such as 4444/TCP. In some cases, due to the RPC service terminating, a compromised system may reboot after the backdoor is accessed by an intruder. There appears to be a separate denial-of-service vulnerability in Microsoft's RPC interface that is also being targeted. Based on current information, we believe this vulnerability is separate and independent from the RPC vulnerability addressed in MS03-026. The CERT/CC is tracking this additional vulnerability as VU#326746 and is continuing to work to understand the issue and mitigation strategies. Exploit code for this vulnerability has been publicly released and also targets TCP port 135. In both of the attacks described above, a TCP session to port 135 is used to execute the attack. However, access to TCP ports 139 and 445 may also provide attack vectors and should be considered when applying mitigation strategies. II. Impact A remote attacker could exploit these vulnerabilities to execute arbitrary code with Local System privileges or to cause a denial of service condition. III. Solutions Apply patches All users are encouraged to apply the patches referred to in Microsoft Security Bulletin MS03-026 as soon as possible in order to mitigate the vulnerability described in VU#568148. These patches are also available via Microsoft's Windows Update service. Systems running Windows 2000 may still be vulnerable to at least a denial of service attack via VU#326746 if their DCOM RPC service is available via the network. Therefore, sites are encouraged to use the packet filtering tips below in addition to applying the patches supplied in MS03-026. Filter network traffic Sites are encouraged to block network access to the RPC service at network borders. This can minimize the potential of denial-of-service attacks originating from outside the perimeter. The specific services that should be blocked include * 135/TCP * 135/UDP * 139/TCP * 139/UDP * 445/TCP * 445/UDP If access cannot be blocked for all external hosts, the CERT/CC recommends limiting access to only those hosts that require it for normal operation. As a general rule, the CERT/CC recommends filtering all types of network traffic that are not required for normal operation. Because current exploits for VU#568148 create a backdoor, which is in some cases 4444/TCP, blocking inbound TCP sessions to ports on which no legitimate services are provided may limit intruder access to compromised hosts. Recovering from a system compromise If you believe a system under your administrative control has been compromised, please follow the steps outlined in Steps for Recovering from a UNIX or NT System Compromise Reporting The CERT/CC is tracking activity related to exploitation of the first vulnerability (VU#568148) as CERT#27479 and the second vulnerability (VU#326746) as CERT#24523. Relevant artifacts or activity can be sent to cert em cert.org with the appropriate CERT# in the subject line. Appendix A. Vendor Information This appendix contains information provided by vendors. When vendors report new information, this section is updated and the changes are noted in the revision history. If a vendor is not listed below, we have not received their comments. Microsoft Please see Microsoft Security Bulletin MS03-026. Appendix B. References * CERT/CC Vulnerability Note VU#561284 - http://www.kb.cert.org/vuls/id/561284 * CERT/CC Vulnerability Note VU#326746 - http://www.kb.cert.org/vuls/id/326746 * Microsoft Security Bulletin MS03-026 - http://microsoft.com/technet/security/bulletin/MS03-026.asp * Microsoft Knowledge Base article 823980 - http://support.microsoft.com?kbid=823980 ______________________________________________________________________ Authors: Chad Dougherty and Kevin Houle ______________________________________________________________________ This document is available from: http://www.cert.org/advisories/CA-2003-19.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History July 31, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPyl3xGjtSoHZUTs5AQE8gAQAqCNAwHihfJzIH8DJDaWxGqacDZYAzGjh 30rPq9AM1/0KkvsdfHb6MC/b+ktCZBrMvXew1e+WGOoE0McZ+IuB9t2DIGsFCBuo ltqDw8v08FLM+7zsAM0DooEZLdNpkqdiKhKvooyJ6LGrj5Nb5inW5joITSBn9MMY YSIQfaGqABU= =m+s3 -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Aug 1 09:01:43 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 1 Aug 2003 09:01:43 -0300 Subject: [SECURITY-L] Descoberta nova falha nos patches para o Windows Message-ID: <20030801120143.GC7671@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Descoberta nova falha nos patches para o Windows To: security em unicamp.br Date: Thu, 31 Jul 2003 13:37:34 -0300 (ART) Descoberta nova falha nos patches para o Windows Quinta-feira, 31 de Julho de 2003 - 12h43 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/07/0051 Após enfrentar problemas com patches de segurança para a versão Windows XP, a Microsoft encontra nova falha. Desta vez, a emenda de segurança afetou os usuários da versão Windows NT 4.0. A empresa alega que o conserto provoca uma falha no Serviço de Acesso Remoto (RRAS), da versão NT 4.0, mas evita uma série de problemas de vulnerabilidade do sistema, razão da implantação do patch. O problema foi descoberto por usuários que tentaram baixar e instalar o patch. Mensagens de erros e dificuldade de entrada nos sistemas afetados são as principais queixas dos consumidores. O RRAS permite que os usuários liguem com segurança o sistema NT 4.0 do Windows. De forma silenciosa, a Microsoft atualizou seu boletim de segurança a nova falha. A empresa diz estar investigando o problema e promete corrigi-la em breve. Para aqueles que precisarem de um reparo imediato para o problema, a Microsoft disponibilizou uma ferramenta de emergência chamada "hot fix". Este último incidente com patches defeituosos de segurança é apenas mais um dos vários problemas que a empresa vem apresentando nos últimos tempos. Recentemente, a Microsoft enfrentou problemas com um patch para a versão Windows XP. [ Paul Roberts, IDG News Service/EUA ] ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Aug 1 09:09:58 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 1 Aug 2003 09:09:58 -0300 Subject: [SECURITY-L] CIAC BULLETIN N-132 Wu-ftpd Buffer Overflow Vulnerability Message-ID: <20030801120958.GE7671@ccuec.unicamp.br> ----- Forwarded message from Cristine Hoepers ----- From: Cristine Hoepers Subject: [GTS-L] Fwd: CIAC BULLETIN N-132 Wu-ftpd Buffer Overflow Vulnerability To: gts-l em listas.unesp.br Date: Thu, 31 Jul 2003 23:08:42 -0300 ----- Forwarded message from CIAC Mail User ----- Date: Thu, 31 Jul 2003 14:00:21 -0700 (PDT) From: CIAC Mail User Subject: CIAC BULLETIN N-132 Wu-ftpd Buffer Overflow Vulnerability -----BEGIN PGP SIGNED MESSAGE----- __________________________________________________________ The U.S. Department of Energy Computer Incident Advisory Capability ___ __ __ _ ___ / | /_\ / \___ __|__ / \ \___ __________________________________________________________ INFORMATION BULLETIN Wu-ftpd Buffer Overflow Vulnerability [Red Hat Security Advisory RHSA-2003:245-15] July 31, 2003 18:00 GMT Number N-132 ______________________________________________________________________________ PROBLEM: A buffer overflow vulnerability exists in wu-ftpd versions 2.6.2 and earlier. WU-FTPD is a popular ftp daemon used on the Internet, and on many anonymous ftp sites all around the world. PLATFORM: Red Hat: Linux 7.1, Linux 7.1 for iSeries, Linux 7.1 for pSeries, Linux 7.2, Linux 7.3, Linux 8.0 OTHER PLATFORMS WILL BE ADDED WHEN VENDOR BULLETINS ARE RELEASED. DAMAGE: Successful exploitation could cause a buffer overflow and allow for an increase in privileges. SOLUTION: Install updated wu-ftpd packages from Red Hat. ______________________________________________________________________________ VULNERABILITY The risk is HIGH. A remote attacker could gain root privileges. ASSESSMENT: ______________________________________________________________________________ LINKS: CIAC BULLETIN: http://www.ciac.org/ciac/bulletins/n-132.shtml ORIGINAL BULLETIN: https://rhn.redhat.com/errata/RHSA-2003-245.html ADDITIONAL LINKS: http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt ADDITIONAL VENDOR INFORMATION WILL BE ADDED WHEN IT BECOMES AVAILABLE. ______________________________________________________________________________ -----BEGIN PGP SIGNATURE----- Version: 4.0 Business Edition iQCVAwUBPyl9KrnzJzdsy3QZAQGlfQQAsXU8nGfM9K+ordhl1eXiIVFwy60oME1A ASNFgzVQ9W7zwZR9v99QsMaytcyE8BEV/DW29iF0aJrPArx8SpY6BrPjPrwk8FBw CVeyLW7875h1Zn9dHv0pHI4b5ru+baqqmnU7nuThLenkqXsgK7AC66nx0RoP3Mca 7lBPLzMUc04= =MR3i -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Aug 1 09:22:29 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 1 Aug 2003 09:22:29 -0300 Subject: [SECURITY-L] Conta security@unicamp.br Message-ID: <20030801122229.GA7754@ccuec.unicamp.br> Srs, As mensagens da Equipe de Seguranca para essa lista serao enviadas pela conta "security em unicamp.br" e nao mais pelos nossos e-mails pessoais. Caso queiram entrar em contato conosco favor direcionar a mensagem para esse e-mail. Obrigada, Daniela -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Fri Aug 1 09:14:00 2003 From: security em unicamp.br (Security Team) Date: Fri, 1 Aug 2003 09:14:00 -0300 Subject: [SECURITY-L] Falha no Windows pode iniciar ataque em massa na Internet Message-ID: <20030801121359.GA5936@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Falha no Windows pode iniciar ataque em massa na Internet To: security em unicamp.br Date: Thu, 31 Jul 2003 16:56:57 -0300 (ART) Falha no Windows pode iniciar ataque em massa na Internet Quinta-feira, 31 de Julho de 2003 - 15h36 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/07/0053 Especialistas de segurança alertam que uma vulnerabilidade recém-descoberta no sistema operacional Windows possa ser usada por um worm na Internet que poderia afetar o tráfego de dados na rede de milhões de máquinas em todo o mundo. A vulnerabilidade crítica, detalhada no boletim de segurança MS03-026 de 16 de julho, afeta um componente chamado Distributed Component Object Model (DCOM), que cuida do tráfego TCP/IP na porta 135, segundo a Microsoft. Uma falha no modo como o DCOM lida com mensagens que usam o procedimento remoto RPC pode levar esse serviço a não funcionar quando uma mensagem incorreta é recebida. O RPC é um protocolo que os programas usam para requisitar serviços de outros programas rodando em servidores num ambiente de rede. Hoje pela manhã, o Departamento de Segurança Nacional dos Estados Unidos atualizou um alerta anterior sobre essa vulnerabilidade no RPC, já que notou um aumento nas buscas em redes e a distribuição ampliada de explorações dessa falha pela internet. A vulnerabilidade afeta quase todas as versões do Windows e pode permitir que um invasor remoto instale e execute código malicioso nas máquinas afetadas, dando ao invasor o controle total do computador, segundo a Microsoft. O grande problema é que não é necessária a interação do usuário para comprometer as máquinas, deixando especialistas em segurança em alerta: eles já começaram a comparar essa vulnerabilidade no RPC à encontrada no Microsoft Internet Information Server (IIS) explorada pelo worm Code Red em julho de 2001. "Eu comparo o RPC ao que aconteceu com o Code Red. Não precisa de interação do usuário e o número de máquinas a serem infectadas está na mesma ordem de magnitude", diz Johannes Ullrich, diretor de tecnologia do Internet Storm Center, parte do SANS Institute. Entretanto, embora o Code Red afetasse apenas um componente encontrado tipicamente nos servidores Windows, a vulnerabilidade no RPC atinge componentes encontrados tanto em servidores quanto computadores de mesa, explica Tomasz Ostwald, co-fundador do Last Stage of Delirium, grupo polonês especializado em segurança que descobriu a falha no RPC e a reportou para a Microsoft. Com isso, o número de PCs vulneráveis salta de poucos milhares no caso do Code Red para milhões para o RPC. A preocupação aumentou na semana passada quando um código projetado para explorar a vulnerabilidade RPC foi colocado na internet. Logo após o lançamento desse "pacote invasor", conhecido como DCOM RPC, o Internet Storm Center do SANS Institute notou um aumento de buscas por portas usadas pela interface afetada, de acordo com Ullrich. Entretanto, essa atividade na maioria ainda é desorganizada e não significa necessariamente que um ataque em massa ou que o worm DCOM PRC esteja em posição de ataque, afirmou o especialista. "Parte do que vimos gente usando esse worm é parte da atividade hacker atual: desfiguramentos de sites ou gente só comprometendo outras máquinas", disse. Comentários postados nos últimos dias em listas de discussão de segurança sugerem que hackers e especialistas em segurança de computadores já modificaram e compartilharam o código do worm desde que ele foi lançado. Se o DCOM RPC original funcionava apenas em máquinas rodando Windows 2000 em inglês, as modificações mais recentes mostram que o código malicioso pode atuar em sistemas em francês, chinês, polonês, alemão e japonês, nos Windows 2000, XP e NT. O RPC está em um estágio similar a uma vulnerabilidade no banco de dados SQL, da Microsoft, após a publicação de um código malicioso que explorava a falha no sistema e foi publicado por um pesquisador de segurança em agosto do ano passado. De acordo com Ostwald, o atual estágio do DCOM RPC não está pronto ainda para distribuição em massa no formato de um worm. Segundo o especialista, o código não foi desenvolvido por completo e ainda depende de variáveis, como a presença de determinadas versões do Windows. O pessoal da Last Stage of Delirium desenvolveu um código "à prova de conceito" para uso interno que funciona contra diversas versões do Windows e precisa apenas do endereço IP (Internet Protocol) da máquina vulnerável para criar um estouro de memória, afirmou Ostwald. Um código como esse poderia ser "muito útil" para criadores de worms, tornando fácil a tarefa de um worm se espalhar de máquina para máquina, segundo o especialista. Com worms rodando a solto e novas falhas descobertas a cada momento , a recomendação é manter sempre o sistema operacional atualizado por meio do Windows Update - e ter um bom programa antivírus atualizado também, para evitar possíveis problemas no futuro. [ Paul Roberts -- IDG News Service/EUA ] ----- End forwarded message ----- From security em unicamp.br Fri Aug 1 10:29:59 2003 From: security em unicamp.br (Security Team) Date: Fri, 1 Aug 2003 10:29:59 -0300 Subject: [SECURITY-L] Bugs duram mais do que pensamos, diz estudo Message-ID: <20030801132959.GB5936@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Bugs duram mais do que pensamos, diz estudo To: security em unicamp.br Date: Thu, 31 Jul 2003 18:34:43 -0300 (ART) Bugs duram mais do que pensamos, diz estudo Quinta-feira, 31 de julho de 2003 - 14h42 SÃO PAULO - Algumas falhas de segurança nunca morrem de verdade - muito pelo contrário, costumam reaparecer vez ou outra, para a alegria dos hackers. É o que diz o relatório liberado pela empresa californiana de segurança Qualys. O estudo diz que 50% dos sistemas com falhas permanecem desatualizados 30 dias após o conserto ter sido liberado pela empresa responsável; e que as vulnerabilidades exploradas por velhos conhecidos como o Code Red e o SQL Slammer, por exemplo, continuam sendo usadas para espalhar vírus e programas espiões pela internet. "As empresas continuam a instalar softwares desatualizados", acredita Gerhard Eschelbeck, diretor de tecnologia da Qualys. Durante 18 meses, a empresa analisou 1,24 milhão de brechas de segurança identificadas por seu serviço gratuito de rastreamento de vulnerabilidades. Segundo a empresa, as falhas mais críticas costumam ser altamente exploradas no primeiro mês; no caso de brechas menos alarmantes, este prazo sobe para 60 dias. Isso porque vulnerabilidades mais sérias costumam ser consertadas em menos tempo, enquanto a instalação de remendos para falhas consideradas menos sérias costuma levar um tempo maior para ser efetuada - e é neste período, em 80% dos casos, que hackers e analistas de segurança soltam os programas que exploram os problemas detectados em um sistema. Renata Mesquita, do Plantão INFO http://info.abril.com.br/aberto/infonews/072003/31072003-8.shl ----- End forwarded message ----- From security em unicamp.br Fri Aug 1 10:30:34 2003 From: security em unicamp.br (Security Team) Date: Fri, 1 Aug 2003 10:30:34 -0300 Subject: [SECURITY-L] PostgreSQL 7.3.4 Message-ID: <20030801133034.GC5936@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: PostgreSQL 7.3.4 To: security em unicamp.br Date: Fri, 1 Aug 2003 00:59:49 -0300 (ART) PostgreSQL 7.3.4 Depois de dois meses de trabalho e testes, o PostgreSQL Global Development Group lançou a versão 7.3.4 do banco de dados PostgreSQL. Essa é fundamentalmente uma versão de bug fix que tem por objetivo corrigir uma série de erros presentes nas versões precedentes. Para ler o anuncio oficial acesse: http://www.postgresql.org/news/142.html Link para download: ftp://ftp.postgresql.org/pub/source/v7.3.4/postgresql-7.3.4.tar.gz ----- End forwarded message ----- From security em unicamp.br Fri Aug 1 10:31:22 2003 From: security em unicamp.br (Security Team) Date: Fri, 1 Aug 2003 10:31:22 -0300 Subject: [SECURITY-L] Google abre porta para hackers Message-ID: <20030801133121.GD5936@unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: Google abre porta para hackers To: undisclosed-recipients: ; Date: Fri, 01 Aug 2003 07:39:36 -0300 *Google abre porta para hackers* Quinta-feira, 31 de Julho de 2003 - 12h38 *Fonte: IDG Now!* Os hackers não vão mais precisar visitar um website para atacá-lo, mas simplesmente usar as informações armazenadas em cache do popular sistema de busca Google, informou um relatório da New Scientist. Uma forma simples para que os hackers invadam Web site é procurar por páginas privadas senhas e nomes que permitam acessar partes seguras de um site. Estas páginas, normalmente, são escondidas pelo browser, mas falhas em software ou pelo fato de não serem deletadas apropriadamente tornam o dado disponível, criando uma falha séria de segurança. Os hackers normalmente fazem um arrastão em busca de vulnerabilidades nos sistemas de busca, mas o hacker profissional Johnny Long disse para a New Scientist que motores de busca, como o Google, tornam esta tarefa muito mais fácil. Os motores de busca trabalham seguindo todos os links de uma página e armazenando em cache todas as informações para criar um banco de dados que permita a pesquisa. Se estas páginas tiverem links de páginas privadas, o sistema as segue e as armazena. Isso significa que os hackers podem procurar por palavras comuns em páginas com informações sensíveis, como "cash history", "temporary" e "password". O Google afirma que não é suas responsabilidade a forma como a informação coletada é usada e diz que seu banco de dados de informação é inestimável para pesquisadores. [ Ursula Seymour - PC Advisor (Inglaterra) ] ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Aug 1 14:24:11 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 1 Aug 2003 14:24:11 -0300 Subject: [SECURITY-L] Site clonado do Banco do Brasil Message-ID: <20030801172411.GI7754@ccuec.unicamp.br> Srs, Vale a pena informar os usuarios sobre sites clonados de bancos. Dessa vez a vitima e' o Banco do Brasil. No Netscape e Mozilla da' erro mas no Internet Explorer funciona perfeitamente. ------------------------------------------------------------------------- On Fri, Aug 01, 2003 at 12:03:58PM -0300, Luiz Morte wrote: Um malandrão clonou o site do banco do Brasil. O site falso é: www-bancodobrasil.com Muito bem clonado por sinal, o site é igual. Todos os links te direcionam para o site verdadeiro, com excessão, é obvio, do link de acesso a conta. Nesse link vc cai numa página identica a do banco. O cara teve a pachorra de falsificar, até, o teclado virtual.Se vc escrever qualquer abobrinha nos campos de da ag. cc. e senha, é chamado o link: www.rodrigotavares.com/login.asp Então, vc é redirecionado para uma página nos moldes da página no BB, porém essa página não existe no site do BB. Nessa página o cara pede a ag. a cc. a senha do cartão e a senha da internet. Imagina o que o cara pode fazer com esses dados. A grande malandragem vem agora. Dessa página, é chamado o link: www.rodrigotavares.com/login2.asp Ai, vc é redirecionado para o login verdadeiro do BB e fica pensando apenas que digitou alguma coisa errada Com uma pesquisinha rápida, peguei dados do dono do registro www.rodrigotavares.com . Se são verdadeiro ou não, não sei. Pelo endereço do site clonado, e a semelhança, esse site tem potencial de estrago. Avisem seus familiares que tiverem conta no BB para terem cuidado. ------------------------------------------------------------------------- From security em unicamp.br Fri Aug 1 14:30:14 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 1 Aug 2003 14:30:14 -0300 Subject: [SECURITY-L] Site clonado do Banco do Brasil Message-ID: <20030801173013.GA8045@unicamp.br> Srs, Vale a pena informar os usuarios sobre sites clonados de bancos. Dessa vez a vitima e' o Banco do Brasil. No Netscape e Mozilla da' erro mas no Internet Explorer funciona perfeitamente. ------------------------------------------------------------------------- On Fri, Aug 01, 2003 at 12:03:58PM -0300, Luiz Morte wrote: Um malandrão clonou o site do banco do Brasil. O site falso é: www-bancodobrasil.com Muito bem clonado por sinal, o site é igual. Todos os links te direcionam para o site verdadeiro, com excessão, é obvio, do link de acesso a conta. Nesse link vc cai numa página identica a do banco. O cara teve a pachorra de falsificar, até, o teclado virtual.Se vc escrever qualquer abobrinha nos campos de da ag. cc. e senha, é chamado o link: www.rodrigotavares.com/login.asp Então, vc é redirecionado para uma página nos moldes da página no BB, porém essa página não existe no site do BB. Nessa página o cara pede a ag. a cc. a senha do cartão e a senha da internet. Imagina o que o cara pode fazer com esses dados. A grande malandragem vem agora. Dessa página, é chamado o link: www.rodrigotavares.com/login2.asp Ai, vc é redirecionado para o login verdadeiro do BB e fica pensando apenas que digitou alguma coisa errada Com uma pesquisinha rápida, peguei dados do dono do registro www.rodrigotavares.com . Se são verdadeiro ou não, não sei. Pelo endereço do site clonado, e a semelhança, esse site tem potencial de estrago. Avisem seus familiares que tiverem conta no BB para terem cuidado. ------------------------------------------------------------------------- From daniela em ccuec.unicamp.br Fri Aug 1 16:14:59 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 1 Aug 2003 16:14:59 -0300 Subject: [SECURITY-L] Assinantes provinientes do provedor UOL Message-ID: <20030801191459.GJ7754@ccuec.unicamp.br> Srs. Usuarios do UOL, Favor configurar o mecanismo de ANTI SPAM para que aceitem mensagens vindas da conta "security em unicamp.br". A partir da proxima 2a. feira irei descadastrar da lista todos os assinantes que nao acertarem esse problema. Atenciosamente, Daniela -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Mon Aug 4 09:47:58 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 4 Aug 2003 09:47:58 -0300 Subject: [SECURITY-L] Lancado o Snort 2.0.1 Message-ID: <20030804124757.GB347@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: LanXado o Snort 2.0.1 To: security em unicamp.br Date: Fri, 1 Aug 2003 17:12:14 -0300 (ART) Lançado o Snort 2.0.1 Enviado em: Friday, August 01 @ 10:50:47 BRT http://www.linuxsecurity.com.br/article.php?sid=7689&mode=thread&order=0 Uma nova versão do NIDS Snort já está disponível para download com diversas correções, adições e melhorias de código... Site: http://www.snort.org Download: http://www.snort.org/dl/snort-2.0.1.tar.gz ----- End forwarded message ----- From security em unicamp.br Mon Aug 4 09:49:22 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 4 Aug 2003 09:49:22 -0300 Subject: [SECURITY-L] Virus Mimail chega por spam e busca novos enderecos de e-mail Message-ID: <20030804124917.GD347@unicamp.br> ----- Forwarded message from adriano ----- From: "adriano" Subject: Vírus Mimail chega por spam e busca novos endereços de e-mail To: "'Security Team'" Date: Fri, 1 Aug 2003 18:00:16 -0300 X-Mailer: Microsoft Outlook, Build 10.0.4510 01/08/2003 - 17h38 Vírus Mimail chega por spam e busca novos endereços de e-mail da Folha Online http://www1.folha.uol.com.br/folha/informatica/ult124u13550.shtml Um novo vírus que se espalha em mensagens de spam começou a circular na internet hoje. Batizada de W32/Mimail em MM, a praga procura por novos endereços de e-mail nos computadores infectados. O Mimail chega em um e-mail de alta prioridade cujo título é "your acount 'nome do usuário'". Para tentar se passar pelo administrador do seu provedor de e-mail, o remetente usado na mensagem é Admin (ADMIN em seu_provedor). No corpo da mensagem, um texto avisa que seu e-mail vai expirar e sugere que o internauta abra o arquivo anexo --message.zip-- para obter mais detalhes sobre o caso. Uma vez executado, o Mimail verifica se o sistema está conectado à internet. Para isso, ele tenta se acessar o site do Google. Se a conexão é feita com sucesso, o vírus tenta capturar endereços de e-mail do sistema local. Atenciosamente, Adriano Rodrigues Paganotto Gerência de Transferência de Tecnologia CCUEC - UNICAMP ----- End forwarded message ----- From security em unicamp.br Mon Aug 4 09:49:46 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 4 Aug 2003 09:49:46 -0300 Subject: [SECURITY-L] CAIS-Alerta: Exploracao de Vulnerabilidades do Microsoft RPC Message-ID: <20030804124946.GE347@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Exploracao de Vulnerabilidades do Microsoft RPC To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 1 Aug 2003 18:04:56 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pelo CERT/CC, CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC Interface, alertando para as crescentes atividades de reconhecimento e exploracao das vulnerabilidades recentemente identificadas na implementação do RPC (Remote Procedure Call) da Microsoft. De acordo com o CERT/CC, existem exploits disponiveis e sendo usados para explorar as referidas vulnerabilidades, tendo como alvo principal a porta 135/tcp e instalando backdoors nos sistemas comprometidos. Algumas versoes do exploit usa a porta 4444/tcp para abrigar o backdoor, enquanto outras versoes do mesmo, usam portas especificadas pelo intruso. O CAIS enviou os seguintes alertas relacionados a este assunto: http://www.rnp.br/cais/alertas/2003/MS03-026.html http://www.rnp.br/cais/alertas/2003/CA200316.html http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html Sistemas Afetados: . Microsoft Windows NT® 4.0 . Microsoft Windows NT 4.0 Terminal Services Edition . Microsoft Windows 2000 . Microsoft Windows XP . Microsoft Windows Server 2003 Correções disponíveis: As correçoes consistem na aplicação dos patches recomendados pela Microsoft no boletim de seguranca MS026, disponivel em: http://www.microsoft.com/technet/security/bulletin/ms03-026.asp Alem disto, os administradores sao encorajados a aplicar filtros sempre que possivel nas seguintes portas: 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP. Caso nao seja possivel filtrar as referidas portas, recomenda-se limitar o acesso apenas aquelas maquinas que de fato necessitem destes servicos para operar devidamente. Maiores informações: http://www.kb.cert.org/vuls/id/561284 http://www.kb.cert.org/vuls/id/326746 http://microsoft.com/technet/security/bulletin/MS03-026.asp http://support.microsoft.com?kbid=823980 Identificadores do CVE: CAN-2003-0352, CAN-2003-0605 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC Interface Original issue date: July 31, 2003 Last revised: - Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Microsoft Windows NT 4.0 * Microsoft Windows NT 4.0 Terminal Services Edition * Microsoft Windows 2000 * Microsoft Windows XP * Microsoft Windows Server 2003 Overview The CERT/CC is receiving reports of widespread scanning and exploitation of two recently discovered vulnerabilities in Microsoft Remote Procedure Call (RPC) Interface. I. Description Reports to the CERT/CC indicate that intruders are actively scanning for and exploiting a vulnerability in Microsoft's DCOM RPC interface as described in VU#568148 and CA-2003-16. Multiple exploits for this vulnerability have been publicly released, and there is active development of improved and automated exploit tools for this vulnerability. Known exploits target TCP port 135 and create a privileged backdoor command shell on successfully compromised hosts. Some versions of the exploit use TCP port 4444 for the backdoor, and other versions use a TCP port number specified by the intruder at run-time. We have also received reports of scanning activity for common backdoor ports such as 4444/TCP. In some cases, due to the RPC service terminating, a compromised system may reboot after the backdoor is accessed by an intruder. There appears to be a separate denial-of-service vulnerability in Microsoft's RPC interface that is also being targeted. Based on current information, we believe this vulnerability is separate and independent from the RPC vulnerability addressed in MS03-026. The CERT/CC is tracking this additional vulnerability as VU#326746 and is continuing to work to understand the issue and mitigation strategies. Exploit code for this vulnerability has been publicly released and also targets TCP port 135. In both of the attacks described above, a TCP session to port 135 is used to execute the attack. However, access to TCP ports 139 and 445 may also provide attack vectors and should be considered when applying mitigation strategies. II. Impact A remote attacker could exploit these vulnerabilities to execute arbitrary code with Local System privileges or to cause a denial of service condition. III. Solutions Apply patches All users are encouraged to apply the patches referred to in Microsoft Security Bulletin MS03-026 as soon as possible in order to mitigate the vulnerability described in VU#568148. These patches are also available via Microsoft's Windows Update service. Systems running Windows 2000 may still be vulnerable to at least a denial of service attack via VU#326746 if their DCOM RPC service is available via the network. Therefore, sites are encouraged to use the packet filtering tips below in addition to applying the patches supplied in MS03-026. Filter network traffic Sites are encouraged to block network access to the RPC service at network borders. This can minimize the potential of denial-of-service attacks originating from outside the perimeter. The specific services that should be blocked include * 135/TCP * 135/UDP * 139/TCP * 139/UDP * 445/TCP * 445/UDP If access cannot be blocked for all external hosts, the CERT/CC recommends limiting access to only those hosts that require it for normal operation. As a general rule, the CERT/CC recommends filtering all types of network traffic that are not required for normal operation. Because current exploits for VU#568148 create a backdoor, which is in some cases 4444/TCP, blocking inbound TCP sessions to ports on which no legitimate services are provided may limit intruder access to compromised hosts. Recovering from a system compromise If you believe a system under your administrative control has been compromised, please follow the steps outlined in Steps for Recovering from a UNIX or NT System Compromise Reporting The CERT/CC is tracking activity related to exploitation of the first vulnerability (VU#568148) as CERT#27479 and the second vulnerability (VU#326746) as CERT#24523. Relevant artifacts or activity can be sent to cert em cert.org with the appropriate CERT# in the subject line. Appendix A. Vendor Information This appendix contains information provided by vendors. When vendors report new information, this section is updated and the changes are noted in the revision history. If a vendor is not listed below, we have not received their comments. Microsoft Please see Microsoft Security Bulletin MS03-026. Appendix B. References * CERT/CC Vulnerability Note VU#561284 - http://www.kb.cert.org/vuls/id/561284 * CERT/CC Vulnerability Note VU#326746 - http://www.kb.cert.org/vuls/id/326746 * Microsoft Security Bulletin MS03-026 - http://microsoft.com/technet/security/bulletin/MS03-026.asp * Microsoft Knowledge Base article 823980 - http://support.microsoft.com?kbid=823980 ______________________________________________________________________ Authors: Chad Dougherty and Kevin Houle ______________________________________________________________________ This document is available from: http://www.cert.org/advisories/CA-2003-19.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History July 31, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPyrV/+kli63F4U8VAQHFtAP8CRuFTWnPk199Z46GvhzLI6cSZs+Nia2b MbOCei+puP+UkEWE437MHjz4l3lXYYbgSuDcUwz98mu5KvaKZdEukL9HVKAXmBgW mVzdgMbA8RkErdhL+um+oyyaE7beLrPjpIa4UQQvixp9kPCyOL4AVpN5d1ulLTox AmBYLa+qGPg= =V+B4 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon Aug 4 09:48:25 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 4 Aug 2003 09:48:25 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Runtime Linker ld.so.1(1) do Solaris Message-ID: <20030804124825.GC347@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Runtime Linker ld.so.1(1) do Solaris To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 1 Aug 2003 17:27:33 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Sun, Sun(sm) Alert Notification (Sun Alert ID: 55680): Security Vulnerability in the Solaris Runtime Linker ld.so.1(1), que trata de uma vulnerabilidade identificada em ld.so.1 cuja exploração pode permitir a obtenção de privilégios do usuário root. Sistemas afetados: Plataforma SPARC * Solaris 2.6 com o patch 107733-10 e sem o patch 107733-11 * Solaris 7 com os patches 106950-14 ate 106950-22 e sem o patch 106950-23 * Solaris 8 com os patches 109147-07 ate 109147-24 e sem o patch 109147-25 * Solaris 9 sem o patch 112963-09 Plataforma x86 * Solaris 2.6 com o patch 107734-10 e sem o patch 107734-11 * Solaris 7 com os patches 106951-14 ate 106951-22 e sem o patch 106951-23 * Solaris 8 com os patches 109148-07 ate 109148-24 e sem o patch 109148-25 * Solaris 9 sem o patch 113986-05 Correções disponíveis: As correcoes para esta vulnerabilidades estao contempladas nas seguintes versoes: * Plataforma SPARC * Solaris 2.6 with patch 107733-11 or later * Solaris 7 with patch 106950-23 or later * Solaris 8 with patch 109147-25 or later * Solaris 9 with patch 112963-09 or later * Plataforma x86 * Solaris 2.6 with patch 107734-11 or later * Solaris 7 with patch 106951-23 or later * Solaris 8 with patch 109148-25 or later * Solaris 9 with patch 113986-05 or later Maiores Informacoes: http://www.idefense.com/advisory/07.29.03.txt http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/55680 Identificador do CVE: CAN-2003-0609 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Solaris que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ Sun(sm) Alert Notification * Sun Alert ID: 55680 * Synopsis: Security Vulnerability in the Solaris Runtime Linker ld.so.1(1) * Category: Security * Product: Solaris * BugIDs: 4872634 * Avoidance: Patch * State: Resolved * Date Released: 29-Jul-2003 * Date Closed: 29-Jul-2003 * Date Modified: 1. Impact An unprivileged local user may be able to gain unauthorized root privileges due to a buffer overflow in the runtime linker ld.so.1(1). Sun acknowledges with thanks, Jouko Pynnönen (jouko em iki.fi) for bringing this issue to our attention and iDEFENSE Inc. (www.idefense.com) for coordinating the release of this issue. This issue is described in iDEFENSE Advisory located at: http://www.idefense.com/advisory/07.29.03.txt. 2. Contributing Factors This issue can occur in the following releases: SPARC Platform * Solaris 2.6 with patch 107733-10 and without patch 107733-11 * Solaris 7 with patches 106950-14 through 106950-22 and without patch 106950-23 * Solaris 8 with patches 109147-07 through 109147-24 and without patch 109147-25 * Solaris 9 without patch 112963-09 x86 Platform * Solaris 2.6 with patch 107734-10 and without patch 107734-11 * Solaris 7 with patches 106951-14 through 106951-22 and without patch 106951-23 * Solaris 8 with patches 109148-07 through 109148-24 and without patch 109148-25 * Solaris 9 without patch 113986-05 3. Symptoms There are no reliable symptoms that would show the described issue has been exploited. Solution Summary 4. Relief/Workaround There is no workaround. Please see the "Resolution" section below. 5. Resolution This issue is addressed in the following releases: SPARC Platform * Solaris 2.6 with patch 107733-11 or later * Solaris 7 with patch 106950-23 or later * Solaris 8 with patch 109147-25 or later * Solaris 9 with patch 112963-09 or later x86 Platform * Solaris 2.6 with patch 107734-11 or later * Solaris 7 with patch 106951-23 or later * Solaris 8 with patch 109148-25 or later * Solaris 9 with patch 113986-05 or later This Sun Alert notification is being provided to you on an "AS IS" basis. This Sun Alert notification may contain information provided by third parties. The issues described in this Sun Alert notification may or may not impact your system(s). Sun makes no representations, warranties, or guarantees as to the information contained herein. ANY AND ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING WITHOUT LIMITATION WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NON-INFRINGEMENT, ARE HEREBY DISCLAIMED. BY ACCESSING THIS DOCUMENT YOU ACKNOWLEDGE THAT SUN SHALL IN NO EVENT BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, PUNITIVE, OR CONSEQUENTIAL DAMAGES THAT ARISE OUT OF YOUR USE OR FAILURE TO USE THE INFORMATION CONTAINED HEREIN. This Sun Alert notification contains Sun proprietary and confidential information. It is being provided to you pursuant to the provisions of your agreement to purchase services from Sun, or, if you do not have such an agreement, the Sun.com Terms of Use. This Sun Alert notification may only be used for the purposes contemplated by these agreements. Copyright 2000-2003 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, CA 95054 U.S.A. All rights reserved. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPyrNXekli63F4U8VAQG6wgP/fSqASMdkkLpzb4iaxsSw7md4gNSO1E9u 4KbieLNKb1isJl7WKSMMvBDWvyHFJEFAc88+Zbw4lE50kaxznON+N/siBtYUCzA7 guiqkXwULsvKf+XmaZkqWgbW4tVJR8WMP7QJBiY541gaVZlsip55cXQ5B5y6/Wu8 8cRXjBZePPE= =Cui6 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon Aug 4 09:47:22 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 4 Aug 2003 09:47:22 -0300 Subject: [SECURITY-L] Hackers comecam a invadir sistemas com falha no Windows Message-ID: <20030804124721.GA347@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Hackers comeXam a invadir sistemas com falha no Windows To: security em unicamp.br Date: Fri, 1 Aug 2003 17:10:54 -0300 (ART) Hackers começam a invadir sistemas com falha no Windows Sexta-feira, 1 de Agosto de 2003 - 15h37 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0002 O CERT Coordination Center começou a receber relatos de ataques usando uma nova vulnerabilidade de segurança e uma falha já conhecida no sistema operacional Windows, da Microsoft. O CERT é um instituto que pesquisa segurança na Internet e recebe financiamento do governo norte-americano. A vulnerabilidade é a interface no Windows que cuida das comunicações do computador usando o protocolo RPC (Remote Procedure Call). Esse problema afeta a maioria das versões do Windows e pode permitir que um invasor se apodere de sistemas vulneráveis. A Microsoft admitiu o problema e lançou um patch corretivo em 16 de julho, logo após sua descoberta pelo grupo polonês de segurança Last Stage of Delirium. Relatos de rastreamentos pela Internet em buscas de máquinas vulneráveis e ataques isolados aproveitando a falha começaram a aparecer após a publicação na Internet, na semana passada, de um código que pode ser usado para explorar essa vulnerabilidade, levando a um alerta maior de especialistas e do Departamento de Segurança Nacional dos Estados Unidos sobre a possibilidade de acontecer um ataque em massa. O alerta do CERT afirma a existência de diversos programas que exploram a falha pela Internet e relata "a atividade de rastreamento intrusiva para se aproveitar" da vulnerabilidade do Windows. Nos últimos dois dias, a entidade recebeu informações de "milhares" de sistemas comprometidos usando variantes do código malicioso, chamado DCOM RPC, segundo Jeff Havrilla, analista de segurança de internet do CERT. O órgão não sabe exatamente quantas máquinas foram invadidas usando o DCOM RPC, mas a proporção de relatos que o CERT recebe tipicamente sobre o número de máquinas comprometidas sugere que "esse número é grande", de acordo com o analista. Em muitos casos, os administradores de sistemas - ou até donos de PCs domésticos - nem imaginam que seus computadores foram comprometidos. Isso pode estar acontecendo de propósito: diferente de programas que aproveitavam de falhas de segurança da Microsoft como os worms Code Red e Slammer, hackers maliciosos têm evitado fazer barulho com essa vulnerabilidade, informa Havrilla. Com o DCOM RPC em ação, um hacker malicioso pode usar o programa para instalar Cavalos de Tróia nos sistemas comprometidos, dando controle das máquinas para uso em ataques futuros. "Não chega a ser um worm, não está nesse nível. Mas é uma exploração sistemática e controlada dos sistemas vulneráveis", disse o analista. Além do volume de ataques relacionados à falha do RPC, há uma outra no mesmo componente que não foi coberta pela correção da Microsoft, tornando computadores com Windows 2000 vulneráveis a ataques do tipo "denial of service", segundo o CERT. Essa nova falha foi descoberta nos últimos dias e já está sendo usada para atacar PCs - além de trazer confusão entre clientes da Microsoft que corrigiram o Windows 2000 e agora acreditam que o patch de correção não funcionou. Segundo o CERT, usuários de Windows 2000 devem atualizar seus sistemas com a correção fornecida pela Microsoft e bloquear o tráfego de rede nas portas TCP (Transmission Control Protocol) 135, 139 e 445, usadas pelo serviço RPC. Usuários de todas as versões domésticas do Windows - 98, 2000, Me e XP - estão sujeitos às invasões - por isso, utilize o comando Windows Update para atualizar seu sistema operacional. [ Paul Roberts - IDG News Service/EUA, com tradução da PC World ] ----- End forwarded message ----- From security em unicamp.br Wed Aug 6 10:11:14 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 6 Aug 2003 10:11:14 -0300 Subject: [SECURITY-L] Qualys cria ranking de falhas de seguranca Message-ID: <20030806131113.GD368@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Qualys cria ranking de falhas de seguranXa To: security em unicamp.br Date: Tue, 5 Aug 2003 18:30:37 -0300 (ART) Qualys cria ranking de falhas de segurança Terça-feira, 05 de agosto de 2003 - 11h04 SÃO PAULO - A partir de hoje os administradores de sistema contam com mais uma ferramenta para prevenir ataques a suas redes. A empresa de segurança Qualys criou um ranking com as dez vulnerabilidades que mais causam problemas aos seus clientes. O site serve como um bom termômetro das atividades dos hackers. O "top ten" de brechas da Qualys é atualizado em tempo real e fornece links para a base de dados do Icat, um serviço de segurança de redes do governo dos Estados Unidos. No site do Icat, o webmaster encontra informações mais detalhadas sobre a vulnerabilidade e os procedimentos para eliminá-la. O ranking de falhas de rede pode ser acessado no endereço www.qualys.com/services/threats/current.html André Cardozo, da INFO http://info.abril.com.br/aberto/infonews/082003/05082003-0.shl ----- End forwarded message ----- From security em unicamp.br Wed Aug 6 16:28:13 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 6 Aug 2003 16:28:13 -0300 Subject: [SECURITY-L] Linux: versao teste do kernel 2.6 esta disponivel Message-ID: <20030806192813.GJ368@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Linux: versXo teste do kernel 2.6 estX disponXvel To: security em unicamp.br Date: Wed, 6 Aug 2003 12:22:12 -0300 (ART) Informática Quarta, 6 de agosto de 2003, 11h32 Linux: versão teste do kernel 2.6 está disponível http://informatica.terra.com.br/interna/0,5862,OI128432-EI553,00.html A Conectiva disponibilizou a versão para testes do kernel 2.6 do Linux. Trata-se da segunda prévia do kernel 2.6, que está previsto para ser lançado ainda este ano. Entre as vantagens apresentadas, destaca-se o ganho de performance tanto para desktops, quanto para máquinas high-end. Outras inovações acompanham o kernel 2.6, como o LVM2 (Logical Volume Manager) e o suporte oficial ao XFS (Extended File Systems). O LVM2, desenvolvido pela Sistina Software, é uma tecnologia que permite que um grande volume de armazenamento em discos físicos seja agrupado em volumes lógicos, facilitando o gerenciamento e otimizando o processo. Na versão atual do kernel, a capacidade de manipulação de área de armazenamento de dados está limitada a 2 terabytes, o que certamente será superado com o LVM2. Já o XFS é um sistema de arquivos que oferece diversas vantagens para os usuários do Linux, como rápida recuperação do sistema após uma suspensão imprevista de suas atividades; além de permitir o armazenamento de centenas de gigabytes ou terabytes de arquivos. O download da versão que a Conectiva disponibilizou é recomendável para todos aqueles que acompanham a versão de desenvolvimento do Conectiva Linux 10 e para quem já tem experiência em instalar e configurar um novo kernel. O download pode ser feito nos sites: ftp://ftp.unicamp.br/pub/conectiva/snapshot http://ftp.nl.linux.org/pub/conectiva/snapshot/ ----- End forwarded message ----- From security em unicamp.br Thu Aug 7 09:20:57 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 7 Aug 2003 09:20:57 -0300 Subject: [SECURITY-L] Correcoes do Windows nao adiantam, dizem usuarios Message-ID: <20030807122057.GA2091@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: CorreXXes do Windows nXo adiantam, dizem usuXrios To: security em unicamp.br Date: Wed, 6 Aug 2003 18:30:49 -0300 (ART) Quarta, 6 de agosto de 2003, 16h54 Correções do Windows não adiantam, dizem usuários http://informatica.terra.com.br/interna/0,5862,OI128597-EI559,00.html As duas correções mais recentes lançadas pela Microsoft não funcionam corretamente. É o que dizem uma série de usuários em grupos de discussões da Internet. A afirmação da maioria é que as atualizações não impediram que as suas versões do Windows fossem invadidas ou prejudicadas por crackers. Alegam os usuários que a Microsoft já deslocou uma equipe técnica para corrigir as questões apontadas. Semanas atrás, a Microsoft e até mesmo organizações do governo americano recomendaram a todos o download da atualização MS03-026. O arquivo evitaria que crackers invadissem qualquer sistema da empresa não pertencente a geração 9x. A correção deveria impedir que invasores utilizassem falhas no protocolo RPC utilizado na trivial comunicação do HTTP da Internet. O remendo indicado pela Microsoft não funcionou em todas as máquinas. Nem mesmo a recomendação de fechar as portas 135, 137, 137 e 445 surtiu efeito para alguns usuários. Especialistas em segurança alertam que mesmo as máquinas atualizadas foram alvo de ataques. A invasão teria sido originada por meio de outras portas através do mesmo problema no RPC. Outra recente correção do Windows NT 4 também foi alvo de críticas. Um usuário da lista de discussões do NTBugTraq afirma que a atualização MS03-029 de nada adiantou. O seu sistema de nomeação de arquivos ainda deixou o seu PC vulnerável a ataques DoS. Endereços apontados pelos usuários mostram que a Microsoft já trabalha em correções para as duas falhas. O provável nome de uma das correções será associado ao artigo 825501, ainda não publicado. ----- End forwarded message ----- From security em unicamp.br Thu Aug 7 10:47:12 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 7 Aug 2003 10:47:12 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030807134712.GA2328@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 30/07/2003 ---------- SANS NewsBites Vol. 5 Num. 30 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b16.txt 04/08/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 30 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b1.txt Módulo Security News no. 303 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/08/b2.txt SecurityFocus Newsletter #208 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/08/b3.txt 06/08/2003 ---------- SANS NewsBites Vol. 5 Num. 31 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b4.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Thu Aug 7 11:17:16 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 7 Aug 2003 11:17:16 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030807141716.GB2328@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 30/07/2003 ---------- Debian Security Advisory (DSA 355-1) Assunto: vulnerabilidade de seguranca no pacote gallery. http://www.security.unicamp.br/docs/bugs/2003/07/v104.txt Debian Security Advisory (DSA 356-1) Assunto: vulnerabilidade de seguranca no pacote xtokkaetama. http://www.security.unicamp.br/docs/bugs/2003/07/v105.txt 31/07/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:079) Assunto: vulnerabilidade de seguranca no pacote kdelibs. http://www.security.unicamp.br/docs/bugs/2003/07/v106.txt Red Hat Security Advisory (RHSA-2003:245-01) Assunto: vulnerabilidade de seguranca no pacote wu-ftp. http://www.security.unicamp.br/docs/bugs/2003/07/v107.txt SuSE Security Announcement (SuSE-SA:2003:032) Assunto: vulnerabilidade de seguranca no pacote wu-ftp. http://www.security.unicamp.br/docs/bugs/2003/07/v108.txt Mandrake Linux Security Update Advisory (MDKSA-2003:080) Assunto: vulnerabilidade de seguranca no pacote wu-ftp. http://www.security.unicamp.br/docs/bugs/2003/07/v109.txt CERT Advisory CA-2003-19 Assunto: Exploitation of Vulnerabilities in Microsoft RPC Interface. http://www.security.unicamp.br/docs/bugs/2003/07/v110.txt Debian Security Advisory (DSA 358-1) Assunto: vulnerabilidade de seguranca nos pacotes linux-kernel-i386 e linux-kernel-alpha. http://www.security.unicamp.br/docs/bugs/2003/07/v111.txt Debian Security Advisory (DSA 359-1) Assunto: vulnerabilidade de seguranca no pacote atari800. http://www.security.unicamp.br/docs/bugs/2003/07/v112.txt Novell, Inc (NOVL-2003-10085583) Assunto: GroupWise (Wireless) WebAccess 6.5 Log Info Leak. http://www.security.unicamp.br/docs/bugs/2003/07/v113.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Thu Aug 7 16:41:53 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 7 Aug 2003 16:41:53 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030807194152.GD2328@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 01/08/2003 ---------- Debian Security Advisory (DSA 360-1) Assunto: vulnerabilidade de seguranca no pacote xfstt. http://www.security.unicamp.br/docs/bugs/2003/08/v1.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:715) Assunto: Vulnerabilidade remota no servidor wu-ftpd. http://www.security.unicamp.br/docs/bugs/2003/08/v2.txt CAIS-Alerta Assunto: Vulnerabilidade no Runtime Linker ld.so.1(1) do Solaris. http://www.security.unicamp.br/docs/bugs/2003/08/v3.txt CAIS-Alerta Assunto: Exploracao de Vulnerabilidades do Microsoft RPC. http://www.security.unicamp.br/docs/bugs/2003/08/v4.txt Debian Security Advisory (DSA 361-1) Assunto: vulnerabilidade de seguranca no pacote kdelibs. http://www.security.unicamp.br/docs/bugs/2003/08/v5.txt Slackware Security Advisory (SSA:2003-213-01) Assunto: KDE packages updated. http://www.security.unicamp.br/docs/bugs/2003/08/v6.txt 02/08/2003 ---------- Debian Security Advisory (DSA 362-1) Assunto: vulnerabilidade de seguranca no pacote mindi. http://www.security.unicamp.br/docs/bugs/2003/08/v7.txt 03/08/2003 ---------- Debian Security Advisory (DSA 363-1) Assunto: vulnerabilidade de seguranca no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v8.txt FreeBSD Security Advisories (FreeBSD-SA-03:08) Assunto: vulnerabilidade de seguranca no pacote realpath. http://www.security.unicamp.br/docs/bugs/2003/08/v9.txt 04/08/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:081) Assunto: vulnerabilidade de seguranca no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v10.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Fri Aug 8 11:13:02 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 8 Aug 2003 11:13:02 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030808141302.GA3989@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 04/08/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:082) Assunto: vulnerabilidade de seguranca no pacote php. http://www.security.unicamp.br/docs/bugs/2003/08/v11.txt SuSE Security Announcement (SuSE-SA:2003:033) Assunto: vulnerabilidade de seguranca no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v12.txt Red Hat Security Advisory (RHSA-2003:251-01) Assunto: vulnerabilidade de seguranca no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v13.txt CAIS-Alerta Assunto: Buffer Overflow no Wu-ftpd. http://www.security.unicamp.br/docs/bugs/2003/08/v14.txt NetBSD Security Advisory (2003-010) Assunto: remote panic in OSI networking code. http://www.security.unicamp.br/docs/bugs/2003/08/v15.txt NetBSD Security Advisory (2003-011) Assunto: off-by-one error in realpath(3). http://www.security.unicamp.br/docs/bugs/2003/08/v16.txt Guardian Digital Security Advisory (ESA-20030804-019) Assunto: vulnerabilidade de seguranca no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v17.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:716) Assunto: Estouro de buffer no pacote wget. http://www.security.unicamp.br/docs/bugs/2003/08/v18.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:717) Assunto: Vulnerabilidade de negação de serviço no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v19.txt Trustix Secure Linux Security Advisory (#2003-029) Assunto: Vulnerabilidade de negação de serviço no pacote postfix. http://www.security.unicamp.br/docs/bugs/2003/08/v27.txt 05/08/2003 ---------- Debian Security Advisory (DSA 358-2) Assunto: vulnerabilidade de seguranca nos pacotes linux-kernel-i386 e linux-kernel-alpha. http://www.security.unicamp.br/docs/bugs/2003/08/v20.txt Debian Security Advisory (DSA 365-1) Assunto: vulnerabilidade de seguranca no pacote phpgroupware. http://www.security.unicamp.br/docs/bugs/2003/08/v21.txt Debian Security Advisory (DSA 366-1) Assunto: vulnerabilidade de seguranca no pacote eroaster. http://www.security.unicamp.br/docs/bugs/2003/08/v22.txt 06/08/2003 ---------- Guardian Digital Security Advisory (ESA-20030806-020) Assunto: vulnerabilidade de seguranca no pacote stunnel. http://www.security.unicamp.br/docs/bugs/2003/08/v23.txt OpenPKG Security Advisory (OpenPKG-SA-2003.035) Assunto: vulnerabilidade de seguran no pacote openssh. http://www.security.unicamp.br/docs/bugs/2003/08/v24.txt OpenPKG Security Advisory (OpenPKG-SA-2003.036) Assunto: vulnerabilidade de seguranca no pacote perl-www. http://www.security.unicamp.br/docs/bugs/2003/08/v25.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-019-01) Assunto: vulnerabilidade de seguranca no pacote wu-ftpd. http://www.security.unicamp.br/docs/bugs/2003/08/v26.txt 07/08/2003 ---------- Trustix Secure Linux Security Advisory (#2003-030) Assunto: vulnerabilidade de seguranca no pacote stunnel. http://www.security.unicamp.br/docs/bugs/2003/08/v28.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Fri Aug 8 13:52:13 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 8 Aug 2003 13:52:13 -0300 Subject: [SECURITY-L] Antivirus protege celular e computadores de mao Message-ID: <20030808165213.GC3989@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: AntivXrus protege celular e computadores de mXo To: security em unicamp.br Date: Fri, 8 Aug 2003 12:53:51 -0300 (ART) Antivírus protege celular e computadores de mão Sexta-feira, 8 de Agosto de 2003 - 12h21 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0013 A Gaia Informática, especializada em soluções de segurança, lança nova versão do antivírus Sophos. Desenvolvido para proteger os pontos vulneráveis da rede, micros e servidores, a solução passa a contar com um escaner de acesso que impede a contaminação da rede por conexão de PDAs ou celulares, detectando o vírus quando estes aparelhos são conectados ao PC. O antivírus aprimorou o mecanismo de detecção, que escaneia arquivos infectados, cavalos de Tróia, worms e o 'Enterprise Manager', que provê um conjunto de ferramentas para a completa instalação, via web, das atualizações do Sophos por toda a rede. O Sophos impede também a entrada de vírus por e-mail, CD, floppy disk, network shares, instant messaging ou através de download. Com um mecanismo de detecção e arquivamento modular, o sistema de carregamento e busca de dados do Sophos permite alta velocidade. A solução conta também com um código emulador para detecção de vírus polimórficos, descompressor online para escanear dentro dos arquivos, ferramenta OLE2 para detecção e desinfeção de vírus macros. O software pode ser instalado em plataformas como Windows NT/2000/XP/2003, Windows 95/98/Me, NetWare, OS/2, Unix/Linux, Macintosh, OpenVMS e DOS/Windows 3.1x. ----- End forwarded message ----- From security em unicamp.br Mon Aug 11 16:49:49 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 11 Aug 2003 16:49:49 -0300 Subject: [SECURITY-L] Ferramenta encontra e substitui codigo dito da SCO no Linux Message-ID: <20030811194948.GA315@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Ferramenta encontra e substitui cXdigo dito da SCO no Linux To: security em unicamp.br Date: Mon, 11 Aug 2003 16:44:54 -0300 (ART) 11/08/2003 - 14h50 Ferramenta encontra e substitui código dito da SCO no Linux da Folha Online http://www1.folha.uol.com.br/folha/informatica/ult124u13615.shtml As empresas em busca de advogados para se defender das ameaças de processo da SCO parecem ter conseguido uma saída. A desenvolvedora de Linux Aduva criou uma ferramenta capaz de localizar e substituir a parte do código que a SCO alega ser de sua propriedade por um código livre. O OnStage vasculha os servidores em busca do código que estaria violando os direitos da SCO, e depois o substitui com um código livre desenvolvido pela própria comunidade Linux. Recentemente, a SCO moveu ações contra a IBM e prometeu processar distribuidores de Linux por uso indevido de parte do código do Unix que estaria patenteado pela companhia. O lançamento da ferramenta foi feito na semana passada, durante a LinuxWorld, em San Francisco (EUA) --maior conferência para a comunidade Linux. A batalha entre a SCO e o restante da comunidade de código aberto --principalmente a IBM, que na semana passada contra-atacou a SCO com outro processo jurídico-- deixou as corporações de cabelos em pé, temendo ser alvos de processo da SCO. Também este ano, a SCO enviou correspondências a mais de mil empresas em todo o mundo ameaçando processá-las caso continuassem usando o Linux, e na semana passada anunciou que cobrará US$ 699 por licença do programa. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Aug 12 14:17:36 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 12 Aug 2003 14:17:36 -0300 Subject: [SECURITY-L] CAIS-Alerta: Propagacao do Worm Blaster (DCOM RPC) Message-ID: <20030812171736.GA1651@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Propagacao do Worm Blaster (DCOM RPC) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Mon, 11 Aug 2003 18:55:41 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Estao sendo divulgadas informacoes relacionadas com o aumento de atividade de um novo worm que ate' o momento foi denominado de Blaster (MSBLASTER). Este worm explora a vulnerabilidade do Microsoft Windows DCOM RPC que foi reportada nos seguintes alertas: . Exploitation of Vulnerabilities in Microsoft RPC Interface http://www.cert.org/advisories/CA-2003-19.html . Exploração de Vulnerabilidades do Microsoft RPC http://www.rnp.br/cais/alertas/2003/CA200319.html . Atualização do alerta MS03-026 http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html . Vulnerabilidade no RPC da Microsoft (823980) http://www.rnp.br/cais/alertas/2003/MS03-026.html . Buffer Overrun In RPC Interface Could Allow Code Execution (823980) http://www.microsoft.com/technet/security/bulletin/ms03-026.asp As informacoes disponiveis ate' o momento sobre o worm Blaster sao: . Adiciona o valor "windows auto update"="msblast.exe" na chave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run . Pacotes direcionados a porta 135 que exploram a vulnerabilidade . Nome do binario do worm: msblast.exe . MD5SUM: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes) . O binario e' transferido por TFTP (69/UDP) O CAIS recomenda aos administradores que mantenham seus sistemas e aplicativos sempre atualizados, de acordo com os boletins de seguranca e correcoes disponibilizadas pelos fabricantes. Se possivel, e' recomendado que sejam aplicados filtros para bloquear a entrada de pacotes com destino a porta 135/UDP, e de pacotes de saida com destino a porta 69/UDP para tentar conter a atividade do worm. O CAIS estara' acompanhando de perto o desenrolar deste serio problema e os mantera' informados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPzgQ5ekli63F4U8VAQE74gP+PMnVd1WY12QxpjnpiEF/XzYKJzBhfDZA Vx4wBSjA8GQJivMbor0bfEIT570w8hMjInMnrhtXbuMWThTW9dZHaAo2h11+6Xf9 3FCHG+QEbiykNiXpxwXsQqOkiEowftoKNgDPBx7JnV432uRStL6tAbEx8i4t5eel yZ70JWggg1s= =A2rS -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Aug 12 14:19:49 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 12 Aug 2003 14:19:49 -0300 Subject: [SECURITY-L] CAIS-Alerta: CERT Advisory CA-2003-20 W32/Blaster worm Message-ID: <20030812171949.GB1651@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: CERT Advisory CA-2003-20 W32/Blaster worm To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 12 Aug 2003 13:05:27 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Complementando as informacoes enviadas ontem pelo CAIS relacionadas com a propagacao do Worm Blaster, o CAIS esta´ repassando o alerta divulgado pelo CERT/CC, CERT Advisory CA-2003-20 W32/Blaster worm. De forma adicional recomendamos a leitura dos seguintes documentos: http://isc.sans.org/diary.html?date=2003-08-11 https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf http://www3.ca.com/virusinfo/virus.aspx?ID=36265 http://www.datafellows.com/v-descs/msblast.shtml http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547 http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.html http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A http://www.sophos.com/virusinfo/analyses/w32blastera.html http://xforce.iss.net/xforce/alerts/id/150 http://vil.nai.com/vil/content/v_100547.htm http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=40369&sind=0 As seguintes ferramentas podem ser utilizadas para a descontaminacao do sistema: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip O CAIS recomenda aos administradores de plataforma Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ CERT Advisory CA-2003-20 W32/Blaster worm Original issue date: August 11, 2003 Last revised: -- Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Microsoft Windows NT 4.0 * Microsoft Windows 2000 * Microsoft Windows XP * Microsoft Windows Server 2003 Overview The CERT/CC is receiving reports of widespread activity related to a new piece of malicious code known as W32/Blaster. This worm appears to exploit known vulnerabilities in the Microsoft Remote Procedure Call (RPC) Interface. I. Description The W32/Blaster worm exploits a vulnerability in Microsoft's DCOM RPC interface as described in VU#568148 and CA-2003-16. Upon successful execution, the worm attempts to retrieve a copy of the file msblast.exe from the compromising host. Once this file is retrieved, the compromised system then runs it and begins scanning for other vulnerable systems to compromise in the same manner. In the course of propagation, a TCP session to port 135 is used to execute the attack. However, access to TCP ports 139 and 445 may also provide attack vectors and should be considered when applying mitigation strategies. Microsoft has published information about this vulnerability in Microsoft Security Bulletin MS03-026. Lab testing has confirmed that the worm includes the ability to launch a TCP SYN flood denial-of-service attack against windowsupdate.com. We are investigating the conditions under which this attack might manifest itself. Unusual or unexpected traffic to windowsupdate.com may indicate an infection on your network, so you may wish to monitor network traffic. Sites that do not use windowsupdate.com to manage patches may wish to block outbound traffic to windowsupdate.com. In practice, this may be difficult to achieve, since windowsupdate.com may not resolve to the same address every time. Correctly blocking traffic to windowsupdate.com will require detailed understanding of your network routing architecture, system management needs, and name resolution environment. You should not block traffic to windowsupdate.com without a thorough understanding of your operational needs. We have been in contact with Microsoft regarding this possibility of this denial-of-service attack. II. Impact A remote attacker could exploit these vulnerabilities to execute arbitrary code with Local System privileges or to cause a denial-of-service condition. III. Solutions Apply patches All users are encouraged to apply the patches referred to in Microsoft Security Bulletin MS03-026 as soon as possible in order to mitigate the vulnerability described in VU#568148. These patches are also available via Microsoft's Windows Update service. Systems running Windows 2000 may still be vulnerable to at least a denial-of-service attack via VU#326746 if their DCOM RPC service is available via the network. Therefore, sites are encouraged to use the packet filtering tips below in addition to applying the patches supplied in MS03-026. It has been reported that some affected machines are not able to stay connected to the network long enough to download patches from Microsoft. For hosts in this situation, the CERT/CC recommends the following: 1. Physically disconnecting the system from the network 2. Check the system for signs of compromise. + In most cases, an infection will be indicated by the presence of the registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\windows auto update" with a value of msblast.exe. If this key is present, remove it using a registry editor. 3. If you're infected, terminate the running copy of msblast.exe using the Task Manager. 4. Take one of the following steps to protect against the compromise prior to installing the Microsoft patch: + Disable DCOM as described below + Enabling Microsoft's Internet Connection Filter (ICF), or another host-level packet filtering program to block incoming connections for 135/tcp 5. Reconnect the system to the network and apply the patches in the recommended manner Trend Micro, Inc. has published a set of steps to accomplish these goals. Symantec has also published a set of steps to accomplish these goals. Disable DCOM Depending on site requirements, you may wish to disable DCOM as described in MS03-026. Disabling DCOM will help protect against this vulnerability but may also cause undesirable side effects. Additional details on disabling DCOM and possible side effects are available in Microsoft Knowledge Base Article 825750. Filter network traffic Sites are encouraged to block network access to the following relevant ports at network borders. This can minimize the potential of denial-of-service attacks originating from outside the perimeter. The specific services that should be blocked include * 69/UDP * 135/TCP * 135/UDP * 139/TCP * 139/UDP * 445/TCP * 445/UDP * 4444/TCP Sites should consider blocking both inbound and outbound traffic to these ports, depending on network requirements, at the host and network level. Microsoft's Internet Connection Firewall can be used to accomplish these goals. If access cannot be blocked for all external hosts, the CERT/CC recommends limiting access to only those hosts that require it for normal operation. As a general rule, the CERT/CC recommends filtering all types of network traffic that are not required for normal operation. Because current exploits for VU#568148 create a backdoor, which is in some cases 4444/TCP, blocking inbound TCP sessions to ports on which no legitimate services are provided may limit intruder access to compromised hosts. Recovering from a system compromise If you believe a system under your administrative control has been compromised, please follow the steps outlined in Steps for Recovering from a UNIX or NT System Compromise Reporting The CERT/CC is tracking activity related to this worm as CERT#30479. Relevant artifacts or activity can be sent to cert em cert.org with the appropriate CERT# in the subject line. Appendix A. Vendor Information This appendix contains information provided by vendors. When vendors report new information, this section is updated and the changes are noted in the revision history. If a vendor is not listed below, we have not received their comments. Microsoft Please see Microsoft Security Bulletin MS03-026. Appendix B. References * CERT/CC Advisory CA-2003-19 - http://www.cert.org/advisories/CA-2003-19.html * CERT/CC Vulnerability Note VU#561284 - http://www.kb.cert.org/vuls/id/561284 * CERT/CC Vulnerability Note VU#326746 - http://www.kb.cert.org/vuls/id/326746 * Microsoft Security Bulletin MS03-026 - http://microsoft.com/technet/security/bulletin/MS03-026.asp * Microsoft Knowledge Base article 823980 - http://support.microsoft.com?kbid=823980 Thanks Our thanks to Microsoft Corporation for their review of and input to this advisory. ______________________________________________________________________ Authors: Chad Dougherty, Jeffrey Havrilla, Shawn Hernan, and Marty Lindner ______________________________________________________________________ This document is available from: http://www.cert.org/advisories/CA-2003-20.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History August 11, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPzkQTekli63F4U8VAQGltwQAvIaXH7myPD3BSBSKKWWi5HO4eESy73lV dvlzx4ON43F9dheT0JahoCUqlpRbTFJTLSd1R2cWLxmwDztRa8jESu/tT+UFRjzM DkrCcwiqSCKHD5G8zki3Ei3XeGYzmlwW6ISvLmQhfXK0qS5a+MApM5ip22xhtppr ckDGPTBI23o= =cSrb -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 10:00:32 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 13 Aug 2003 10:00:32 -0300 Subject: [SECURITY-L] Worm Blaster foi mal escrito, dizem analistas Message-ID: <20030813130032.GC3763@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Worm Blaster foi mal escrito, dizem analistas To: security em unicamp.br Date: Tue, 12 Aug 2003 20:51:00 -0300 (ART) Worm Blaster foi mal escrito, dizem analistas Terça-feira, 12 de Agosto de 2003 - 18h01 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0020 Especialistas em segurança afirmam que apesar de ter infectado milhares de computadores em todo o mundo, o worm W32.Blaster é pobremente escrito e ineficiente, o que diminui seu impacto. Os analistas alertam no entanto, que futuras versões do worm poderão corrigir estas falhas, fazendo com que o Blaster se espalhe muito mais rapidamente, o que resultaria na interrupção de serviços das redes infectadas e causaria grandes danos aos negócios e usuários individuais na web. O Blaster, também conhecido como MSBlast, Lovsan Worm e DCOM Worm, apareceu nesta segunda-feira (11/08) e se espalhou rapidamente em computadores de todo o mundo ao explorar uma falha no sistema operacional Windows. De acordo com Johannes Ullrich, Chief Technology Officer (CTO) do SANS Internet Storm Center, até esta terça-feira (12/08), o worm atacou mais de 30 mil sistemas. Especialistas já familiarizados com o novo worm afirmam porém, que uma inspeção mais detalhada do código do worm revelaram um trabalho de baixa qualidade. Segundo Marc Maiffret, especialista de segurança da empresa eEye Digital Security, o criador do Blaster não escreveu um novo código, mas copiou e colou uma ferramenta de ataque já conhecida para a vulnerabilidade que estava disponível na web. Apesar da falha afetar todos os PCs que rodam Windows, o worm Blaster ataca somente os sistemas Windows XP e Windows 2000, o que reduz o número de máquinas afetadas. De acordo com a empresa de segurança F-Secure, da Finlândia, o código do Blaster não consegue detectar que tipo de sistema operacional está instalado na máquina que ele está atacando e escolhe, de forma randômica, entre atacar sistemas Windows XP e Windows 2000. Ao fazer isso, o Blaster frequentemente usa o recurso errado para o sistema operacional instalado o que faz com que as máquinas com Windows XP sejam reiniciadas com uma mensagem de erro. Os autores do Blaster criaram um método ineficiente e nada sutil para espalhar o código de uma máquina infectada para outra vulnerável, mas ainda “limpa”. O worm solicita que a máquina vulnerável estabeleça uma conexão individual com o PC infectado, para copiar o código do worm, facilitando sua detecção em uma rede e fornecendo vários caminhos para seu bloqueio. [ Paul Roberts - IDG News Service / EUA ] ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 09:58:26 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 13 Aug 2003 09:58:26 -0300 Subject: [SECURITY-L] Como se livrar do virus Blaster Message-ID: <20030813125826.GB3763@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Como se livrar do vXrus Blaster To: security em unicamp.br Date: Tue, 12 Aug 2003 20:49:44 -0300 (ART) Como se livrar do vírus Blaster 12/8/2003 - 19:17 Giordani Rodrigues http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1060726668,36336, Um dos sintomas visíveis da presença do Blaster é que o sistema se torna instável e passa a reiniciar constantemente. Já é possível encontrar fóruns em português com usuários pedindo ajuda(http://www.babooforum.com.br/idealbb/view.asp?topicID=120288) para este problema. Se você roda Windows 2000 ou XP e crê que sua máquina esteja infectada, faça o seguinte: 1) A forma mais fácil de eliminar o vírus é rodar uma ferramenta de desinfecção automática. A Symantec publicou a ferramenta FixBlast.exe(http://securityresponse.symantec.com/avcenter/FixBlast.exe) e a Computer Associates lançou o arquivo ClnPoza.zip(http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip), ambos capazes de eliminar o Blaster. 2) Depois de baixar os arquivos, desconecte o computador infectado da Internet e isole-o da rede interna, se ele estiver ligado a outras máquinas. Rode as ferramentas de desinfecção. 3) Desabilite o protocolo DCOM. Para tanto, vá em Iniciar/Executar, digite "regedit" (sem aspas) e aperte a tecla "Enter". Com isso, você abrirá o editor do Registro. Localize a chave HKEY_LOCAL_MACHINE\Software\Microsoft\OLE e mude o valor de "EnableDCOM" para N. Depois, reinicie sua máquina. Isto impedirá que o sistema seja novamente infectado até que você aplique a correção de segurança. Outras formas de desabilitar o protocolo DCOM podem ser encontradas no site: http://support.microsoft.com/default.aspx?scid=kb;en-us;825750 (explicações em inglês). 4) Conecte novamente seu computador à Internet, acesse o boletim de segurança MS03-026(http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp) e faça o download da correção disponível naquela página. Uma maneira mais fácil de atualizar o Windows é visitar o site www.windowsupdate.com e instalar todas as correções críticas indicacadas pelo serviço. Esta etapa é imprescindível para garantir que seu sistema não será novamente infectado pelo Blaster ou outros vírus similares, que certamente serão criados nas próximas semanas. Lembre-se de que os passos acima servem apenas para desinfecção do Blaster, mas se sua máquina foi atingida pelo worm, significa que pode ter sido infectada anteriormente por outros programas criados recentemente e que exploram a mesma falha. Por isso, o ideal é você atualizar seu antivírus e fazer uma análise completa do sistema. Caso não tenha antivírus, há opções gratuitas que podem ser encontradas no site: http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid990794416,20786,/ ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 10:32:30 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 13 Aug 2003 10:32:30 -0300 Subject: [SECURITY-L] Disponivel GCC 3.3.1 Message-ID: <20030813133229.GF3763@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: DisponXvel GCC 3.3.1 To: security em unicamp.br Date: Tue, 12 Aug 2003 10:51:15 -0300 (ART) Disponível GCC 3.3.1 Os desenvolvedores do compilador GCC anunciaram a disponibilidade do GCC 3.3. Informações detalhadas sobre essa versão você pode encontrar em: http://gcc.gnu.org/gcc-3.3/changes.html Download em: ftp://ftp.gnu.org/gnu/gcc/gcc-3.3.1/gcc-3.3.1.tar.gz ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 16:44:19 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 13 Aug 2003 16:44:19 -0300 Subject: [SECURITY-L] Mais informacoes e assinatura IDS para o DCOM RPC Worm Message-ID: <20030813194418.GJ3763@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Mais informaXXes e assinatura IDS para o DCOM RPC Worm To: security em unicamp.br Date: Wed, 13 Aug 2003 11:43:58 -0300 (ART) Mais informações e assinatura IDS para o DCOM RPC Worm Enviado em: Wednesday, August 13 @ 09:20:00 BRT http://www.linuxsecurity.com.br/article.php?sid=7733&mode=thread&order=0 A Symantec disponibilizou um documento PDF muito completo a respeito do worm mais comentado da semana (DCOM RPC/W32.Blast)... O documento também inclui a assinatura/regra a ser utilizada pelo Snort ou outros IDSs similares... Leitura recomendada... https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf _______________________________________________________________________ Conheça o novo Cadê? - Mais rápido, mais fácil e mais preciso. Toda a web, 42 milhões de páginas brasileiras e nova busca por imagens! http://www.cade.com.br ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 16:44:44 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 13 Aug 2003 16:44:44 -0300 Subject: [SECURITY-L] Detectando e Entendendo Rootkits Message-ID: <20030813194443.GK3763@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Detectando e Entendendo Rootkits To: security em unicamp.br Date: Wed, 13 Aug 2003 11:47:45 -0300 (ART) Detectando e Entendendo Rootkits Enviado em: Wednesday, August 13 @ 09:27:30 BRT http://www.linuxsecurity.com.br/article.php?sid=7736&mode=thread&order=0 Arturo "Buanzo" Busleiman enviou um email para a lista SecPapers, com a URL para acesso a um artigo sobre detecção de Rootkits... http://www.buanzo.com.ar/files/BUANZO-Detecting_and_Understanding_rootkits.txt ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Aug 13 16:55:30 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 13 Aug 2003 16:55:30 -0300 Subject: [SECURITY-L] CAIS-Alerta: Comprometimento de FTP.GNU.ORG Message-ID: <20030813195530.GD4429@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Comprometimento de FTP.GNU.ORG To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 13 Aug 2003 16:36:52 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando um comunicado da The Free Software Foundation, tratando de comprometimento do site ftp.gnu.org, provavelmente em Marco de 2003. A lista de pacotes possivelmente comprometidos esta' em: http://ftp.gnu.org/MISSING-FILES Maiores informações podem ser obtidas no referido comunicado, disponivel em: http://ftp.gnu.org/MISSING-FILES.README E´ recomendado aos administradores que baixaram pacotes do site comprometido entre Marco e Agosto de 2003, que verifiquem a autenticidade dos mesmos atraves das assinaturas MD5 ja' validadas pelos mantenedores do site e disponiveis em: http://ftp.gnu.org/before-2003-08-01.md5sums.asc O CAIS recomenda aos administradores que sempre verifiquem a integridade de pacotes antes de proceder com uma atualização ou instalação. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - --------------------------------------------------------------------------- To the Free Software Community: Summary * gnuftp, the FTP server for the GNU project was root compromised. * After substantial investigation, we don't believe that any GNU source has been compromised. * To be extra-careful, we are verifying known, trusted secure checksums of all files before putting them back on the FTP site. Events Concerning Cracking of Gnuftp A root compromise and a Trojan horse were discovered on gnuftp.gnu.org, the FTP server of the GNU project. The machine appears to have been cracked in March 2003, but we only very recently discovered the crack. The modus operandi of the cracker shows that (s)he was interested primarily in using gnuftp to collect passwords and as a launching point to attack other machines. It appears that the machine was cracked using a ptrace exploit by a local user immediately after the exploit was posted on bugtraq. (For the ptrace bug, a root-shell exploit was available on 17 March 2003, and a working fix was not available on linux-kernel until the following week. Evidence found on the machine indicates that gnuftp was cracked during that week.) Given the nature of the compromise and the length of time the machine was compromised, we have spent the last few weeks verifying the integrity of the GNU source code stored on gnuftp. Most of this work is done, and the remaining work is primarily for files that were uploaded since early 2003, as our backups from that period could also theoretically be compromised. Historical Integrity Checks We have compared the md5sum of each source code file (such as .tar.gz, .tar.bz2, diff's, etc.) on ftp.gnu.org with a known good data. The file, ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc, contains a list of files in the format: MD5SUM FILE [REASON, ... REASON] The REASONs are a list of reasons why we believe that md5sum is good for that file. The file as a whole is GPG-signed. Remaining Files The files that have not been checked are listed in the root directory as "MISSING-FILES". We are in the process of asking GNU maintainers for trusted secure checksums of those files before we put them in place. We have lots of evidence now to believe that no source has been compromised -- including the MO of the cracker, the fact that every file we've checked so far isn't compromised, and that searches for standard source trojans turned up nothing. However, we don't want to put files up until we've had a known good source confirm that the checksums are correct. Alpha FTP Site The Alpha FTP site at ftp://alpha.gnu.org/ has been a lower priority for us, but we plan to follow the same procedure there. Moving Forward All releases after the 2003-08-01 date will have checksums GPG-signed by the GNU maintainer who prepared the release, and unfortunately we'll be discontinuing local shell access to the FTP server for GNU maintainers. - -- Bradley M. Kuhn, Executive Director Free Software Foundation | Phone: +1-617-542-5942 59 Temple Place, Suite 330 | Fax: +1-617-542-2652 Boston, MA 02111-1307 USA | Web: http://www.gnu.org -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPzqTWukli63F4U8VAQHwPAQAwhpOwmOov57KKD8/INcyMVj22IcPEo0L mlG2qIrCCC978BZ4zkFd7BLtauQuxzTIpc/GH3R0NtNiLXGqjimmY91M4paTHuGb votQ9GtBmVieli6ZEVWz8im6wW15Gzz89cwkX36yr5uvC5Dc9NlzIU6FuYa2mlyz CdiocMO1U3E= =Nrhx -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Aug 14 10:54:29 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 14 Aug 2003 10:54:29 -0300 Subject: [SECURITY-L] Impacto do Blaster no Brasil e' menor, dizem analistas Message-ID: <20030814135429.GB399@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Impacto do Blaster no Brasil X menor, dizem analistas To: security em unicamp.br Date: Wed, 13 Aug 2003 17:50:50 -0300 (ART) Impacto do Blaster no Brasil é menor, dizem analistas Quarta-feira, 13 de Agosto de 2003 - 16h13 IDG Now! Ana Paula Oliveira http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0024 Em menos de 48 horas o worm MSBlast ou Lovesan se espalhou pelo mundo e infectou 227 mil máquinas que rodam os sistemas operacionais Windows XP, 2000, Server 2003 e NT. A ameaça que usa uma falha do Windows para se propagar já chegou ao País, embora não com tanta força quando em lugares como Estados Unidos e Reino Unido. Mesmo assim, especialistas em segurança alertam para o perigo da ameaça. De acordo com Rodrigo Ormonde, diretor-presidente da Panda Software, o grande diferencial do Blaster é que como worm, ele infecta uma máquina e, a partir dela, procura outra máquina para atacar. “Por isso, ele não se propaga por e-mail e sim por uma conexão internet, usando a falha do Windows na porta 135. O mais interessante é que essa correção já foi divulgada pela Microsoft e pelo número de ataques, vemos que muitos usuários não atualizaram seus sistemas operacionais até agora”, explica Ormonde. O executivo informa ainda que quem tem Windows 98 ou ME não precisa se preocupar, pois o Blaster só ataca as versões NT e mais recentes. “Por isso, mesmo que o usuário tenha um antivírus para rastrear e-mails, a solução não é eficiente para conter o Blaster. O ideal é ter, além do antivírus, um firewall pessoal”, alerta o diretor. Na visão de Ormonde, as incidências no Brasil podem não ser tão altas porque o parque tecnológico nacional ainda é antigo em termos de software. "A grande maioria ainda usa Windows ME ou 98, que aparentemente estão fora de perigo". Vale ressaltar o fato de que, apesar de o Blaster não afetar o Windows 98 ou ME, essas duas versões podem ser vítimas de futuras versões do worm, já que eles são igualmente vulneráveis à falha no protocolo RPC. A Network Associates recebeu até terça-feira (12/08), 100 chamados de empresas de toda a América Latina com problemas relativos ao Blaster. Deste total, segundo José Matias, gerente de suporte da empresa para a região, 20 chamados vieram do Brasil. “Acredito que o foco maior do worm deve ser em pequenas empresas, pois as companhias maiores costumam ter políticas de segurança mais desenvolvidas, com departamentos de tecnologia que fazem a atualização constante dos aplicativos e gerenciam o firewall”, opina. O gerente afirma que a porta 135 geralmente não fica aberta nas redes das empresas que usam firewall. “Detectamos uma ocorrência maior em máquinas com servidores e geralmente instaladas em pequenas empresas”, constata Matias. Na visão de Francisco Odorino Neto, diretor da fornecedora de firewalls BRConnection, o maior perigo de exposição à ameaça está nas empresas que conectam o servidor Windows direto à internet, sem usar um firewall. “É um risco que não vale a pena, diante dos prejuízos que pode gerar”, alerta. Os usuários domésticos, por sua vez, também não estão livres da ameaça. A Symantec recebeu, apenas na segunda-feira (12/08), 60 chamados reportando ataques domésticos. “Se incluirmos os chamados via web e nossos outros canais de informação, este número dobra”, diz Lúcio Costa de Almeida, analista de suporte sênior da Symantec no Brasil. Almeida reforça que o uso do firewall é imprescindível para conter o Blaster. O antivírus pode até detectar a presença do worm, mas é o firewall que mantém a porta fechada para quaisquer tipos de invasões”, conclui. Dicas para manter o Blaster longe de sua máquina # Manter sistema operacional atualizado, usando sempre o Windows Update. # Executar os patches divulgados pela Microsoft para correção desta falha. # Manter antivírus atualizado diariamente na sua máquina. # Empresas devem usar firewall corporativo. # Usuários domésticos devem usar firewall pessoal. # Tentar usar firewall e antivírus da mesma marca, para ter uma solução integrada. Vacinas já disponíveis contra a ameaça http://www.symantec.com.br/region/br/avcenter/data/w32.blaster.worm.html http://vil.nai.com/vil/content/v_100547.htm ----- End forwarded message ----- From security em unicamp.br Thu Aug 14 10:49:41 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 14 Aug 2003 10:49:41 -0300 Subject: [SECURITY-L] Problema da GNU Message-ID: <20030814134941.GA399@unicamp.br> ----- Forwarded message from Luiz Eduardo Roncato Cordeiro ----- From: Luiz Eduardo Roncato Cordeiro Subject: Problema da GNU To: Daniela Regina Barbetti Date: Thu, 14 Aug 2003 10:27:57 -0300 Organization: NBSO Daniela, Este script testa as somas MD5 dos softwares da GNU (codigo fonte) que estao no /usr/ports/distfiles utilizando o arquivo de somas MD5 que esta no site da GNU. http://www.babel.dk/home/~vader/scripts/ Abracos, Cordeiro ----- End forwarded message ----- From security em unicamp.br Thu Aug 14 16:19:01 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 14 Aug 2003 16:19:01 -0300 Subject: [SECURITY-L] Announcing Final version of NIST Special Publication 800-59, "Guideline for Identifying an Information System as a National Security System" Message-ID: <20030814191900.GH399@unicamp.br> ----- Forwarded message from aleph1 em securityfocus.com ----- From: aleph1 em securityfocus.com Subject: (forw) Announcing Final version of NIST Special Publication 800-59, "Guideline for Identifying an Information System as a National Security System" To: secpapers em securityfocus.com Date: Wed, 13 Aug 2003 18:37:02 -0600 ----- Forwarded message from Patrick O'Reilly ----- From: "Patrick O'Reilly" Reply-To: patrick.oreilly em nist.gov To: Multiple recipients of list Subject: Announcing Final version of NIST Special Publication 800-59, "Guideline for Identifying an Information System as a National Security System" Date: Wed, 13 Aug 2003 18:16:23 -0400 (EDT) Message-Id: <5.1.0.14.2.20030813174832.01e24e90 em email.nist.gov> X-Mailer: QUALCOMM Windows Eudora Version 5.1 August 12, 2003 -- The final version of NIST Special Publication 800-59, "Guideline for Identifying an Information System as a National Security System" is now available. The document provides guidance on how to determine whether an information system meets the new legislative definition for "national security systems" (FISMA, Title III, Public Law 107-347). To view the document (.pdf format) from the CSRC website, please go to: http://csrc.nist.gov/publications/nistpubs/800-59/SP800-59.pdf This link below will take you to the Special Publications page on the CSRC website (SP 800-59 is also available in a zipped .pdf format - link provided on this page): http://csrc.nist.gov/publications/nistpubs/index.html ----- End forwarded message ----- -- Elias Levy Symantec Alea jacta est ----- End forwarded message ----- From security em unicamp.br Fri Aug 15 10:05:04 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 15 Aug 2003 10:05:04 -0300 Subject: [SECURITY-L] Especialistas questionam ataque do Blaster ao site da MS Message-ID: <20030815130504.GB309@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Especialistas questionam ataque do Blaster ao site da MS To: security em unicamp.br Date: Thu, 14 Aug 2003 19:22:41 -0300 (ART) Especialistas questionam ataque do Blaster ao site da MS Quinta-feira, 14 de Agosto de 2003 - 18h39 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0030 Enquanto corporações e internautas se apressam para consertar os estragos causados pelos worm MS_Blaster, especialistas em segurança estão se indagando se o ataque massivo das máquinas infectadas, que tentarão causar um Denial of Service (DoS) no web site da Microsoft no próximo sábado (16/08), realmente acontecerá. Até quinta-feira (14/08), o worm Blaster infectou entre 250 mil e 1 milhão de PCs, de acordo com Vincent Gullotto, vice-presidente da AVERT, equipe da Networks Associates que monitora a trajetória dos vírus em todo o mundo. Apesar do grande número de ataques, ao que parece, o pior ainda está a caminho. Além de ser programado para procurar e infectar computadores com o Windows vulnerável, o Blaster está pronto para gerar um ataque do tipo Denial of Service (DoS) contra o website da Microsoft no próximo sábado (16/08). As máquinas infectadas em todo o mundo começarão a enviar pedidos de conexão ao domínio windowsupdate.com, usado pela empresa para distribuir as correções de software aos usuários de Windows. Se tudo ocorrer como programado, as máquinas começarão o ataque às 12 horas de cada sistema existente nos PCs infectados. Essa operação criará um ataque em cascata, que cruzará o mundo enquanto os relógios de cada país atingem o horário preestabelecido, segundo informações de Mikko Hyppönen, diretor de pesquisas de antivírus na empresa finlandesa F-Secure Corp. Uma vez acionado, o ataque continuará até o final de dezembro, recomeçando depois em 16/01/04. Se for bem-sucedido, a Microsoft terá dificuldades para interromper a ação, segundo afirmam os especialistas. Mais de 100 mil máquinas poderão estar envolvidas no ataque, o que criará um volume massivo de tráfego. Como o tráfego virá de PCs com milhares de endereços IP diferentes, é quase impossível criar uma lista para bloquear os ataques. Além disso, o ataque chegará pela porta 80, uma entrada vital de comunicação, usada para acessar a internet. Mesmo com o cenário negro, os especialistas concordam que nem tudo está perdido. Por engano ou desconhecimento, o criador do worm forneceu o endereço de domínio incorreto para o windowsupdate. O endereço especificado simplesmente redireciona os usuários para o atual website, o windowsupdate.microsoft.com. Dessa forma, a Microsoft poderá mudar a configuração do domínio para conseguir parar o tráfego direcionado para o web site atual. A Microsoft mantém sigilo sobre os planos para conter o ataque deste fim de semana. Por enquanto, a empresa assume que espera um alto volume de tráfego no próximo sábado (16/08) e que está tomando as medidas necessárias para assegurar que seus clientes continuem recebendo as atualizações de software. A empresa de Bill Gates também está publicando as correções em vários lugares de seu web site para que os clientes consigam acessar as atualizações se o domínio windowsupdate.com ficar fora do ar. Além do endereço windowsupdate.microsoft.com, usuários também poderão baixar as correções diretamente do web site download.microsoft.com. Mais informações sobre o Blaster podem ser obtidas em www.microsoft.com/security. [ Paul Roberts - IDG News Service (EUA) ] ----- End forwarded message ----- From security em unicamp.br Fri Aug 15 09:53:38 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 15 Aug 2003 09:53:38 -0300 Subject: [SECURITY-L] Erro da Microsoft pode ter ajudado novo worm Message-ID: <20030815125338.GA309@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Erro da Microsoft pode ter ajudado novo worm To: security em unicamp.br Date: Thu, 14 Aug 2003 19:18:54 -0300 (ART) Erro da Microsoft pode ter ajudado novo worm Quinta-feira, 14 de Agosto de 2003 - 12h05 http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0026 Com a disseminação do worm Blaster começando a decair, o foco das atenções passa agora para as tentativas da Microsoft em ajudar seus clientes a corrigir os sistemas vulneráveis, com especialistas em segurança afirmando que a companhia forneceu proteção inadequada e poucas informações sobre como os usuários podem proteger seus PCs. O worm Blaster surgiu na última segunda-feira (11/08) na internet e começou a se espalhar rapidamente em todo o mundo, infectando milhares de computadores e causando panes em redes corporativas e universitárias, além de PCs domésticos. Ele usa uma falha em um componente (RPC e DCOM) do Windows, presente em quase todas as versões do sistema operacional, mas por falha em seu desenvolvimento ataca apenas máquinas com Windows XP ou 2000. Até quarta-feira (13/08) à noite, o Blaster havia infectado aproximadamente 225 mil computadores em todo o mundo, segundo Albert Huger, diretor de engenharia do Symantec Security Response. Ontem também surgiu uma nova variante do Blaster, segundo os fabricantes de antivírus. A correção para o problema no Windows foi lançada em julho e a Microsoft pediu aos usuários que instalassem o patch o mais rápido possível para proteger o PC. Na época, a companhia tentou contornar o problema, mas ficou em posição vulnerável quando o Blaster começou a se espalhar. Após relatos surgirem na internet, a Microsoft reconheceu que seu trabalho de desabilitar a porta afetada (DCOM) no Windows 2000 não funcionava em determinadas versões desse sistema operacional. "Descobrimos que há um bug não relacionado a segurança presente no Windows 2000 versão gold ou nos service packs 1 e 2", disse Stephen Toulouse, gerente de segurança da Microsoft. Por causa disso, era preciso mudar uma configuração no Windows para desabilitar a DCOM. Entretanto, a tal mudança não fez efeito nos servidores Windows 2000 com a versão original (também chamada gold) do software ou com os service packs 1 e 2 instalados, de acordo com Marc Maiffret, da eEye Digital Security. Além disso, a Microsoft também não informou que as máquinas com Windows precisavam ser reincializadas após a mudança na configuração, segundo Maiffret. Administradores de sistemas que barraram o acesso ao DCOM pensando que era um modo rápido e eficiente para proteger seus sistemas enquanto as correções estavam sendo desenvolvidas, mas eles ainda estavam vulneráveis, segundo Maiffret. Não surgiram relatos de infecções pelo Blaster por causa da confusão sobre desabilitar a DCOM, diz Russ Cooper, moderador da lista de discussões NTBugtraq. Segundo o especialista, a instalação de outras correções para o Windows 2000 permitiu aos usuários desabilitar de maneira correta a DCOM, já que essa é a maneira mais eficiente para impedir diversas outras pragas que podem se aproveitar da vulnerabilidade da Microsoft. Em resposta às críticas, a Microsoft atualizou anteontem seu boletim de segurança sobre a falha no DCOM, e ampliou o suporte para a vulnerabilidade no RPC para sistemas com Windows 2000 e Service Pack 2. Toulouse, da Microsoft, disse sentir muito pela confusão, mas informou que a companhia não dá suporte técnico para sistemas com Windows 2000 rodando algo inferior ao Service Pack 3 e que as correções funcionam direito apenas em versões do Windows compatíveis. Segundo a Microsoft, sua política de suporte a sistemas operacionais vale apenas para os dois service packs mais recentes. Porém, a companhia vai reavaliar seus procedimentos para dar suporte a versões mais antigas dos sistemas operacionais quando surgirem problemas de segurança que exploram vulnerabilidades e alertas de vírus. "Fizemos muito com esse alerta de vulnerabilidade, mas ainda estamos em fase de aprendizado. Sempre há mais que podemos fazer", afirmou Toulouse. [ Paul Robertsv - IDG News Service / EUA , com tradução de PC World ] ----- End forwarded message ----- From security em unicamp.br Thu Aug 14 16:49:40 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 14 Aug 2003 16:49:40 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030814194940.GI399@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 11/08/2003 ---------- Módulo Security News no. 304 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/08/b5.txt SANS Critical Vulnerability Analysis Vol 2 No 31 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b6.txt SecurityFocus Newsletter #209 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/08/b7.txt 13/08/2003 ---------- SANS NewsBites Vol. 5 Num. 32 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b8.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Mon Aug 18 09:32:55 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 18 Aug 2003 09:32:55 -0300 Subject: [SECURITY-L] Ports scheduled for removal on Nov 7 Message-ID: <20030818123253.GA357@unicamp.br> ----- Forwarded message from Kris Kennaway ----- From: Kris Kennaway Subject: [FreeBSD-Announce] Ports scheduled for removal on Nov 7 To: announce em FreeBSD.org Date: Sat, 16 Aug 2003 02:46:19 -0700 Dear FreeBSD users, The following ports are scheduled for removal on November 7 if they are still broken at that time and no PRs have been submitted to fix them. If you are interested in saving these ports, please send your patches to the maintainer. If the maintainer is unresponsive or the port has no maintainer, then please submit them via send-pr. As usual, the build error logs can be obtained from http://bento.freebsd.org Kris #-*- mode: makefile; tab-width: 32; -*- # ex:ts=32 # astro/sscalc sscalc-1.0 kew em icehouse.net audio/csound-manual csound-manual-4.10 trevor em FreeBSD.org audio/net-rhythmbox net-rhythmbox-0.4.8_2 hendrik em scholz.net audio/spiralsynthbaby spiralsynthbaby-0.0.2 trevor em FreeBSD.org benchmarks/iozone iozone-3.172 jmz em FreeBSD.org biology/emboss emboss-2.4.1_1 wjv em FreeBSD.org cad/gwave gwave-20020122 dmlb em dmlb.org chinese/chitex zh-chitex-6.1.2p7.8_1 statue em freebsd.sinica.edu.tw chinese/dictd zh-tw-dictd-1.8.0_1 ports em FreeBSD.org chinese/dictd-database zh-dictd-database-1.4 statue em freebsd.sinica.edu.tw comms/bayonne bayonne-0.5.3_1 ports em FreeBSD.org comms/vpb2 vpb2-2.0.3 dyfet em gnu.org databases/firebird firebird-1.0.2 chris em aims.com.au databases/firebird-devel firebird-1.0.r2 chris em aims.com.au databases/grass grass-5.0.0_1,1 reg em FreeBSD.org devel/asis asis-3.14p thomas em cuivre.fr.eu.org devel/doxygen doxygen-1.3.1 kde em freebsd.org devel/veepee veepee-1.0_2 ports em FreeBSD.org devel/whups whups-0.0.1.020303 thierry em pompo.net devel/yacl yacl-1.7b ports em freebsd.org emulators/its its-1.0 kstailey em yahoo.com emulators/linux_base-6 linux_base-6.1_5 ports em FreeBSD.org emulators/xpinmame xpinmame-sdl-0.37b14.2+0.99b3 stijn em win.tue.nl french/spip fr-SPIP-1.5 gioria em FreeBSD.org ftp/moxftp moxftp-2.2 ports em FreeBSD.org games/myth2_demo linux-myth2_demo-1.3 trevor em FreeBSD.org games/pythoong pythoong-0.99 ports em FreeBSD.org games/rollemup rollemup-1.0 sanpei em FreeBSD.org games/xpuyo xpuyo-0.1 nakai em FreeBSD.org graphics/imlib3d imlib3d-0.8.0_1 ports em FreeBSD.org graphics/opendx-samples opendx-samples-4.2.0 ports em FreeBSD.org graphics/vterrain-sdk vterrain-sdk-010829 ports em FreeBSD.org korean/hlatex-mffonts-wansung ko-HLaTeX-mffonts-wansung-0.98 cjh em FreeBSD.org korean/imhangul_status_applet ko-imhangul_status_applet-0.2 cjh em FreeBSD.org lang/ETHOberonV4 ETHOberonV4-0.9 jhicks em glenatl.glenayre.com lang/cli cli-20021101 sobomax em FreeBSD.org lang/cyclone cyclone-0.2 ports em FreeBSD.org lang/dylan dylan-2.3.10 housel em acm.org lang/gcl gcl-2.4.0 twp em unchi.org lang/sr sr-2.3.1 ports em FreeBSD.org lang/visualworks visualworks-5i.4 js em jeannot.org mail/courier courier-0.39.3 yds em CoolRat.org mail/youbin youbin-3.4 max em FreeBSD.org math/rascal rascal-0.3.2_1 ports em FreeBSD.org math/ruby-math3d ruby-math3d-0.03 knu em FreeBSD.org misc/heyu heyu-1.33 plambert em plambert.net misc/libh libh-0.2.2 anarcat em anarcat.dyndns.org multimedia/xine_d4d_plugin xine_d4d_plugin-0.3.2 gibbon em cocoa.freemail.ne.jp multimedia/xine_d5d_plugin xine_d5d_plugin-0.2.7_1 nobutaka em FreeBSD.org net/linphone linphone-0.11.0_2 ports em FreeBSD.org net/pixilate pixilate-0.4 bvi-ports em moria.org net/v6eval v6eval-2.1.1 Yukiyo.Akisada em jp.yokogawa.com net/xbone XBone-2.0 yushunwa em isi.edu print/pdflib4 pdflib-4.0.3_1 sysadmin em alexdupre.com russian/pgp.language ru-pgp-2.6.3ia ache em FreeBSD.org security/hashish hashish-0.4b ports em FreeBSD.org textproc/latte latte-1.1 nc-rotherdo em netcologne.de textproc/p5-XML-Sablotron p5-XML-Sablotron-0.98 skv em FreeBSD.org textproc/tei-xsl-fo tei-xsl-fo-1.0_1 henrik.motakef em web.de textproc/tei-xsl-html tei-xsl-html-1.0_2 henrik.motakef em web.de vietnamese/vnterm vi-vnterm-3.4 obrien em FreeBSD.org www/beonex beonex-0.8.1 trevor em FreeBSD.org www/cgihtml cgihtml-1.69_1 roam em FreeBSD.org www/cl-lml cl-lml-2.3.4 henrik.motakef em web.de www/gn gn-2.24 ports em FreeBSD.org www/http-analyze http-analyze-2.01_2 todd em thisisa.com www/p5-Apache-Filter p5-Apache-Filter-1.022 ports em freebsd.org www/rt2 rt2-2.0.15 ports em FreeBSD.org www/sarg sarg-1.4.1 mt em primats.org.ua x11-toolkits/fox-xunicode fox-0.99.174_1 ports em FreeBSD.org x11-toolkits/geramik geramik-0.24 haesu em TowardEX.com x11/twin twin-0.4.6 samy em kerneled.com ----- End forwarded message ----- From security em unicamp.br Fri Aug 15 16:44:15 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 15 Aug 2003 16:44:15 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030815194414.GA535@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 08/08/2003 ---------- Debian Security Advisory (DSA 364-2) Assunto: vulnerabilidade de seguranca no pacote man-db. http://www.security.unicamp.br/docs/bugs/2003/08/v29.txt Debian Security Advisory (DSA 367-1) Assunto: vulnerabilidade de seguranca no pacote xtokkaetama. http://www.security.unicamp.br/docs/bugs/2003/08/v30.txt Debian Security Advisory (DSA 368-1) Assunto: vulnerabilidade de seguranca no pacote xpcd. http://www.security.unicamp.br/docs/bugs/2003/08/v31.txt Red Hat Security Advisory (RHSA-2003:255-0) Assunto: up2date improperly checks GPG signature of packages. http://www.security.unicamp.br/docs/bugs/2003/08/v32.txt Debian Security Advisory (DSA 369-1) Assunto: vulnerabilidade de seguranca no pacote zblast. http://www.security.unicamp.br/docs/bugs/2003/08/v33.txt Debian Security Advisory (DSA 370-1) Assunto: vulnerabilidade de seguranca no pacote pam-pgsql. http://www.security.unicamp.br/docs/bugs/2003/08/v34.txt 09/08/2003 ---------- Debian Security Advisory (DSA 361-2) Assunto: vulnerabilidade de seguranca no pacote kdelibs-crypto. http://www.security.unicamp.br/docs/bugs/2003/08/v35.txt 10/08/2003 ---------- FreeBSD Security Advisories (FreeBSD-SA-03:09) Assunto: Insufficient range checking of signal numbers. http://www.security.unicamp.br/docs/bugs/2003/08/v36.txt FreeBSD Security Advisories (FreeBSD-SA-03:10) Assunto: Kernel memory disclosure via ibcs2. http://www.security.unicamp.br/docs/bugs/2003/08/v37.txt 11/08/2003 ---------- Red Hat Security Advisory (RHSA-2003:241-1) Assunto: Updated ddskk packages fix temporary file vulnerability. http://www.security.unicamp.br/docs/bugs/2003/08/v38.txt Red Hat Security Advisory (RHSA-2003:235-1) Assunto: Updated KDE packages fix security issue. http://www.security.unicamp.br/docs/bugs/2003/08/v39.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:720) Assunto: Vulnerabilidade local no pacote lynx. http://www.security.unicamp.br/docs/bugs/2003/08/v40.txt CAIS-Alerta Assunto: Propagacao do Worm Blaster (DCOM RPC) http://www.security.unicamp.br/docs/bugs/2003/08/v41.txt CERT Advisory CA-2003-20 Assunto: W32/Blaster worm http://www.security.unicamp.br/docs/bugs/2003/08/v42.txt Debian Security Advisory (DSA 371-1) Assunto: vulnerabilidade de seguranca no pacote perl. http://www.security.unicamp.br/docs/bugs/2003/08/v43.txt 12/08/2003 ---------- CAIS-Alerta Assunto: CERT Advisory CA-2003-20 W32/Blaster worm. http://www.security.unicamp.br/docs/bugs/2003/08/v44.txt SuSE Security Announcement (SuSE-SA:2003:034) Assunto: vulnerabilidade de seguranca no kernel. http://www.security.unicamp.br/docs/bugs/2003/08/v45.txt 13/08/2003 ---------- Cisco Security Advisory Assunto: CiscoWorks Application Vulnerabilities. http://www.security.unicamp.br/docs/bugs/2003/08/v46.txt CAIS-Alerta Assunto: Comprometimento de FTP.GNU.ORG. http://www.security.unicamp.br/docs/bugs/2003/08/v47.txt REVISED: Microsoft Security Bulletin (MS03-029) Assunto: Flaw in Windows Function Could Allow Denial of Service (823803). http://www.security.unicamp.br/docs/bugs/2003/08/v48.txt CERT Advisory CA-2003-21 Assunto: GNU Project FTP Server Compromise. http://www.security.unicamp.br/docs/bugs/2003/08/v49.txt 14/08/2003 ---------- CAIS-Alerta Assunto: CERT Advisory CA-2003-21 GNU Project FTP Server Compromise. http://www.security.unicamp.br/docs/bugs/2003/08/v50.txt SGI Security Advisory (20030802-01-P) Assunto: Checkpoint/Restart Vulnerability. http://www.security.unicamp.br/docs/bugs/2003/08/v52.txt 15/08/2003 ---------- Red Hat Security Advisory (RHSA-2003:199-02) Assunto: Updated unzip packages fix trojan vulnerability. http://www.security.unicamp.br/docs/bugs/2003/08/v51.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Mon Aug 18 09:45:08 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 18 Aug 2003 09:45:08 -0300 Subject: [SECURITY-L] Microsoft mata WindowsUpdate.com para evitar ataque Message-ID: <20030818124508.GB357@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Microsoft mata WindowsUpdate.com para evitar ataque To: security em unicamp.br Date: Sat, 16 Aug 2003 01:25:41 -0300 (ART) Microsoft mata WindowsUpdate.com para evitar ataque Sexta-feira, 15 de Agosto de 2003 - 17h31 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0034 A Microsoft mudou o endereço de internet do WindowsUpdate.com em um esforço para frustrar o ataque aos seus sistemas pelos computadores infectados pelo vírus Blaster, informou a companhia. O Blaster, que também é conhecido como DCOM ou Lovsan, espalhou-se rapidamente nesta semana, infectando mais de um milhão de computadores, de acordo com algumas estimativas. As máquinas infectadas foram programas para fazer um ataque de denial of service (DoS) ao site WindowsUptade.com da Microsoft a partir da meia-noite deste sábado (16/08). Mas a Microsoft removeu o alvo do ataque matando o domínio, informou a empresa. A Microsoft usou o endereço WindowsUptade.com redirecionando os usuários de internet para o site de atualização de software para Windows (windowsuptade.microsoft.com). "O WindowsUpdate.com é um endereço não essencial, então nós o tiramos do ar para evitar o vírus", declarou Sean Sundwall, porta-voz da Microsoft. "Isso cria problemas para o vírus." Os usuários ainda podem baixar atualizações de software acessando diretamente o WindowsUptade que agora é parte do domínio Microsoft.com. "O site está no ar, o que permite que as pessoas peguem seus patches", afirmou Sundwall. Usuários de internet que digitarem a URL WindowsUpdate.com em seus browsers vão receber uma mensagem de erro. A Microsoft apagou a informação DNS do domínio. O DNS é uma espécie de livro de endereços da internet. "O domínio não leva para lugar nenhum, é uma URL morta e não há planos para trazê-la de volta", afirmou o porta-voz da Microsoft. [ Joris Evers - IDG News Service/EUA ] ----- End forwarded message ----- From security em unicamp.br Tue Aug 19 09:31:21 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 19 Aug 2003 09:31:21 -0300 Subject: [SECURITY-L] Windows XP: sem pacote de atualizacoes antes de 2004 Message-ID: <20030819123121.GE357@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Windows XP: sem pacote de atualizaXXes antes de 2004 To: security em unicamp.br Date: Mon, 18 Aug 2003 14:34:09 -0300 (ART) Windows XP: sem pacote de atualizações antes de 2004 IDG News Service 18/08/2003 11:06 http://pcworld.terra.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=8204590&Area=975000 A Microsoft não vai lançar um segundo pacote de atualizações para o Windows XP até a segunda metade do ano que vem, dando mais responsabilidades aos usuários para fazerem correções e atualizações automáticas nos seus sistemas. Os chamados service packs trazem de uma vez só todas as correções de segurança e atualizações de drives desde o lançamento do produto ou de um pacote de atualizações anterior. Eles são voltados para usuários que não têm o hábito de instalar as atualizações assim que elas são lançadas, porque preferem fazer a manutenção de seus sistemas de acordo com sua agenda ou ainda mesmo porque têm preguiça ou falta de tempo para se manterem atualizados. O Windows XP foi lançado em outubro de 2001. O Service Pack 1 saiu menos de um anos depois, em setembro de 2002. Segundo um mapa de atividades(http://www.microsoft.com/windows/lifecycle/servicepacks.mspx) da Microsoft, colocado em seu site na última sexta, haverá um intervalo de dois anos entre o primeiro e o segundo pacote, planejado para o terceiro trimestre de 2004. Ainda na página "Windows Service Pack Road Map", a Microsoft também anunciou que o primeiro Service Pack para o Windows Server 2003 deve sair no início de 2004. Segundo o planejamento da companhia, não há previsão para um próximo pacote de atualizações para o Windows 2000. Sistemas mais antigos, como o NT Workstation ou o NT Server 4, não terão mais atualizações. ----- End forwarded message ----- From security em unicamp.br Tue Aug 19 09:36:40 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 19 Aug 2003 09:36:40 -0300 Subject: [SECURITY-L] Ferramenta promete 100% de seguranca para o Linux Message-ID: <20030819123640.GF357@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Ferramenta promete 100% de seguranXa para o Linux To: security em unicamp.br Date: Mon, 18 Aug 2003 14:38:37 -0300 (ART) Ferramenta promete 100% de segurança para o Linux Enviado em: Monday, August 18 @ 08:53:27 BRT http://www.linuxsecurity.com.br/article.php?sid=7749&mode=thread&order=0 Balwinder Singh enviou um email para a bugtraq anunciando uma nova ferramenta desenvolvida por ele, chamada Execution Flow Control (EFC)... De acordo com Singh, ela é capaz de proteger um sistema Linux de forma sólida contra ataques conhecidos ou não (incluindo trojans)... Também de acordo com seu autor, um servidor já está sendo executado há semanas com uma instalação padrão do RedHat 7.0 sem aplicação de patches, sendo atacado diariamente (203.197.88.14) e, até o momento, nenhuma tentativa foi bem sucedida, nem mesmo para obtenção de um usuário comum do sistema... Baldwinder está solicitando à comunidade para que realize ataques contra seu servidor, ajudando a testar a nova ferramenta... Maiores informações a respeito do EFC poderão ser lidas através do endereço abaixo... http://203.197.88.14/efc ----- End forwarded message ----- From security em unicamp.br Tue Aug 19 09:45:21 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 19 Aug 2003 09:45:21 -0300 Subject: [SECURITY-L] Variante do Blaster "conserta" PCs infectados Message-ID: <20030819124520.GI357@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Variante do Blaster XconsertaX PCs infectados To: security em unicamp.br Date: Mon, 18 Aug 2003 18:32:01 -0300 (ART) Variante do Blaster "conserta" PCs infectados Segunda-feira, 18 de Agosto de 2003 - 17h50 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0037 Os usuários do Windows, da Microsoft, que foram infectados pelo vírus Blaster, na semana passada, com certeza gostariam de uma versão daquele vírus que limparia os arquivos corrompidos, depois instalaria as correções impedindo futuras infecções. Um vírus, chamado de Worm_MSBlast-D e Nachi, apareceu nesta segunda-feira e espalhou-se explorando a mesma falha de segurança do Windows que o vírus Blaster original usou para infectar milhares de computadores ao redor do mundo, segundo vários informes. As companhias antivírus não concordam se o novo vírus é uma versão do original Blaster ou um novo tipo de vírus. Algumas, como a Trend Micro considera-o uma variante, chamando-o de Worm_MSBLAST.D. Outras declaram que se trata de um novo worm, conhecido como w32.Nachi-A. Uma coisa é certa: ao contrário do original, o Blaster-D/Nachi está mais preocupado em consertar o sistema do que explorar suas fraquezas. Depois de infectar o Windows 2000 ou XP, o vírus procura e remove o arquivo com o Blaster (Msblast.exe) e tenta baixar e instalar os software de correção da Microsoft que fecha o buraco de segurança. As companhias de segurança, que discordam sobre o nome do vírus, recomendam que os usuários removam o Blaster-D/Nachi. "Qualquer coisa feita sem a aprovação ou conhecimento do usuário não é bom", declarou Ian Hameroff, estrategista de segurança da Computer Associates (CA). "É como se a sua casa fosse arrombada e os ladrões instalassem um alarme." O Blaster-D/Nachi não distingue entre sistemas infectados e saudáveis e se espalha como o Blaster, identificando os sistemas operacionais Windows 2000 e XP que não foram atualizados com os patches de segurança da Microsoft. Não há ainda nenhuma evidência de que o novo vírus instale um Cavalo de Tróia nas máquinas , afirmou David Perry, diretor de educação da Trend Micro. A CA ainda está analisando o novo vírus e ainda não tem detalhes sobre ele. [ Paul Roberts - IDG News Service/EUA ] ----- End forwarded message ----- From security em unicamp.br Tue Aug 19 15:37:56 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 19 Aug 2003 15:37:56 -0300 Subject: [SECURITY-L] CAIS-Alerta: Propagacao do virus W32.Sobig.F@mm Message-ID: <20030819183756.GJ357@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Propagacao do virus W32.Sobig.F em mm To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 19 Aug 2003 10:58:46 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Uma nova variante do virus Sobig, W32.Sobig.F em mm, esta' se propagando no momento e sua atividade pode ser percebida pelo volume de mensagens recebidas com as seguintes caracteristicas: Alguns dos possiveis Subjects: que constam nas mensagens enviadas pelo virus sao: Your details Re: Thank you! Re: Wicked screensaver Re: Details Re: Approved Re: Your application Re: That movie A maioria das mensagens possui arquivo em anexo com os seguintes nomes: your_details.pif wicked_scr.scr document_all.pif your_document.pif movie0045.pif document_9446.pif O corpo da mensagem pode possuir os seguintes conteudos: "See the attached file for details." "Please see the attached file for details." Se nao for encontrado um email para ser utilizado como remetente, o virus usara' o endereco admin em internet.com como padrao. Maiores informacoes sobre o Sobig.F podem ser encontradas nas URLs abaixo: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f em mm.html http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F http://www.f-secure.com/v-descs/sobig_f.shtml A empresa F-Secure desenvolveu um aplicativo para a remocao do virus, disponivel no seguinte endereco: ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe O CAIS recomenda fortemente a todos os usuarios que mantenham seus antivírus sempre atualizados, com frequencia diaria ou de forma automatica; nao abram anexos de qualquer especie sem antes analisa´-los com um antivirus, se certificando sempre da autenticidade do endereco de origem do e-mail. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP0ItHekli63F4U8VAQGfZQQAiUrX3S+jtiLtPlGDsda6Qa837IHA3T47 v7Z+VpZWJ1mzV163zo2SMpzrt0XBnM/BzqjUcYTC5w7fa55HNqjfqpkmRvrvKnFB RWT2bjUsTWXpJ+g5chPZU2Vkq16TJ6ZA50MU5kM3IE3BWsNE8KHwG4kjn1kKkdsD O4EweUfnJUw= =YaV/ -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 20 09:23:00 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 20 Aug 2003 09:23:00 -0300 Subject: [SECURITY-L] Panda lanca site em portugues Message-ID: <20030820122300.GA3835@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Panda lanXa site em portuguXs To: security em unicamp.br Date: Tue, 19 Aug 2003 20:33:07 -0300 (ART) Panda lança site em português 19/8/2003 - 15:37 Redação/Divulgação http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1061318246,70129,/ A Panda Software Brasil, desenvolvedora de software antivírus, acaba de lançar seu site totalmente em português, no endereço www.pandasoftware.com.br. O portal conta com ferramentas capazes de detectar e remover pragas eletrônicas, suporte online, downloads e análise da existência de vírus no micro. A nova versão do site traz o Panda ActiveScan, um serviço gratuito que permite ao usuário eliminar os vírus eletrônicos, por meio de uma interface Web, sem necessidade de instalação de um programa. O serviço conta com análise heurística, um método que utiliza algoritmos genéricos para detectar espécies desconhecidas de vírus, baseando-se em comportamentos de arquivos potencialmente perigosos. No site ainda há o PQRemove (Panda Quick Remove) ferramenta que remove os vírus eletrônicos mais perigosos e conhecidos do mercado, além de reparar as alterações do sistema causadas por estas pragas. A empresa esclarece que o PQRemove não é um programa antivírus convencional, mas uma ferramenta especialmente desenhada para eliminar vírus específicos. No portal também é possível localizar as revendas Panda em todo o País, assim como os produtos da empresa. Além disso, o site traz suporte online e alerta da atividade de vírus no mundo todo. ----- End forwarded message ----- From security em unicamp.br Wed Aug 20 10:59:04 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 20 Aug 2003 10:59:04 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030820135904.GA3996@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 18/08/2003 ---------- SecurityFocus Newsletter #210 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/08/b9.txt Módulo Security News no. 305 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/08/b10.txt SANS Critical Vulnerability Analysis Vol 2 No 32 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b11.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Wed Aug 20 16:34:34 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 20 Aug 2003 16:34:34 -0300 Subject: [SECURITY-L] Risco do MSBlast.D dobra em apenas um dia Message-ID: <20030820193434.GB3996@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Risco do MSBlast.D dobra em apenas um dia To: security em unicamp.br Date: Wed, 20 Aug 2003 14:30:50 -0300 (ART) Risco do MSBlast.D dobra em apenas um dia Terça-feira, 19 de agosto de 2003 - 17h42 SÃO PAULO - Com apenas um dia de ação, o vírus MSBlast.D, a versão 'boazinha' do Blaster, já mostrou a que veio. O vírus, cujo suposto objetivo é combater o Blaster, provoca mais tráfego na rede que a praga original. Devido à sua proliferação, o grau de risco da nova versão saltou de 2 para 4 (numa escala de 5 pontos). O MSBlast.D explora a mesma brecha de segurança do Windows que o Blaster original. Além disso, também se aproveita de uma vulnerabilidade no servidor IIS. Desse modo, ele se instala no sistema, elimina o Blaster, se já existir, e remove o ponto vulnerável no Windows. Devido a isso, o MSBlast.D ganhou a fama de vírus 'do bem'. Mas as vantagens terminam aí. Uma vez ativo no sistema, ele passa a enviar solicitações à internet para descobrir novas máquinas vulneráveis. Como ele procura duas brechas, e não uma, e tenta conectar-se a até 300 endereços de uma só vez, aumenta a velocidade de contaminações e também o volume de tráfego na internet. Redes em que vários micros são contaminados passam a funcionar quase somente para as atividades 'benignas' do MSBlast.D. Carlos Machado, da INFO http://info.abril.com.br/aberto/infonews/082003/19082003-9.shl ----- End forwarded message ----- From security em unicamp.br Fri Aug 22 10:03:08 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 22 Aug 2003 10:03:08 -0300 Subject: [SECURITY-L] CAIS-Alerta: Patch Acumulativo para o Internet Explorer (822925) Message-ID: <20030822130308.GA7433@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Patch Acumulativo para o Internet Explorer (822925) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Cc: Centro de Atendimento a Incidentes de Seguranca Date: Thu, 21 Aug 2003 10:54:12 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-032: Cumulative Patch for Internet Explorer (818529), que trata da disponibilização de patch acumulativo para o Microsoft Internet Explorer que elimina duas vulnerabilidades recentemente identificadas. Sistemas Afetados: . Microsoft Internet Explorer 5.01 . Microsoft Internet Explorer 5.5 . Microsoft Internet Explorer 6.0 . Microsoft Internet Explorer 6.0 for Windows Server 2003 Correções disponíveis: A correção consiste na aplicação do patch recomendado pela Microsoft e disponível em: . Todas as versoes exceto Microsoft Internet Explorer 6.0 for Windows Server 2003 http://www.microsoft.com/windows/ie/downloads/critical/822925/default.asp . Microsoft Internet Explorer 6.0 for Windows Server 2003 http://www.microsoft.com/windows/ie/downloads/critical/822925s/default.asp Maiores informações: http://www.microsoft.com/technet/security/bulletin/ms03-032.asp Identificadores do CVE: CAN-2002-0530, CAN-2002-0531, CAN-2002-0532 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - ----------------------------------------------------------------- Title: Cumulative Patch for Internet Explorer (822925) Date: 20 August 2003 Software: - Microsoft Internet Explorer 5.01 - Microsoft Internet Explorer 5.5 - Microsoft Internet Explorer 6.0 - Microsoft Internet Explorer 6.0 for Windows Server 2003 Impact: Run code of the attacker's choice Max Risk: Critical Bulletin: MS03-032 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-032.asp http://www.microsoft.com/security/security_bulletins/ms03-032.asp - ----------------------------------------------------------------- Issue: ====== This is a cumulative patch that includes the functionality of all previously released patches for Internet Explorer 5.01, 5.5 and 6.0. In addition, it eliminates the following newly discovered vulnerabilities: - A vulnerability involving the cross-domain security model of Internet Explorer, which keeps windows of different domains from sharing information. This flaw could result in the execution of script in the My Computer zone. To exploit this flaw, an attacker would have to host a malicious Web site that contained a Web page designed to exploit this particular vulnerability and then persuade a user to visit that site. After the user has visited the malicious Web site, it would be possible for the attacker to run malicious script by misusing the method Internet Explorer uses to retrieve files from the browser cache, and cause that script to access information in a different domain. In the worst case, this could enable the Web site operator to load malicious script code onto a user's system in the security context of the My Computer zone. In addition, this flaw could also enable an attacker to run an executable file that was already present on the local system or view files on the computer. The flaw exists because a file from the Internet or intranet with a maliciously constructed URL can appear in the browser cache running in the My Computer zone. - A vulnerability that occurs because Internet Explorer does not properly determine an object type returned from a Web server. It could be possible for an attacker who exploited this vulnerability to run arbitrary code on a user's system. If a user visited an attacker's Web site, it would be possible for the attacker to exploit this vulnerability without any other user action. An attacker could also craft an HTML-based e-mail that would attempt to exploit this vulnerability. This patch also sets the Kill Bit on the BR549.DLL ActiveX control. This control implemented support for the Windows Reporting Tool, which is no longer supported by Internet Explorer. The control has been found to contain a security vulnerability. To protect customers who have this control installed, the patch prevents the control from running or from being reintroduced onto users' systems by setting the Kill Bit for this control. This issue is discussed further in Microsoft Knowledge Base article 822925. In addition to these vulnerabilities, a change has been made to the way Internet Explorer renders HTML files. This change addresses a flaw in the way Internet Explorer renders Web pages that could cause the browser or Outlook Express to fail. Internet Explorer does not properly render an input type tag. A user visiting an attacker's Web site could allow the attacker to exploit the vulnerability by viewing the site. In addition, an attacker could craft a specially formed HTML-based e-mail that could cause Outlook Express to fail when the e-mail was opened or previewed. This patch also contains a modification to the fix for the Object Type vulnerability (CAN-2003-0344) corrected in Microsoft Security Bulletin MS03-020. The modification corrects the behavior of the fix to prevent the attack on specific languages. To exploit these flaws, the attacker would have to create a specially formed HTML-based e-mail and send it to the user. Alternatively an attacker would have to host a malicious Web site that contained a Web page designed to exploit these vulnerabilities. The attacker would then have to persuade a user to visit that site. As with the previous Internet Explorer cumulative patches released with bulletins MS03-004, MS03-015, and MS03-020 this cumulative patch will cause window.showHelp( ) to cease to function if you have not applied the HTML Help update. If you have installed the updated HTML Help control from Knowledge Base article 811630, you will still be able to use HTML Help functionality after applying this patch. Mitigating Factors: ==================== - By default, Internet Explorer on Windows Server 2003 runs in Enhanced Security Configuration. This default configuration of Internet Explorer blocks these attacks. If Internet Explorer Enhanced Security Configuration has been disabled, the protections put in place that prevent these vulnerabilities from being exploited would be removed. - In the Web-based attack scenario, the attacker would have to host a Web site that contained a Web page used to exploit these vulnerabilities. An attacker would have no way to force users to visit a malicious Web site outside the HTML-based e-mail vector. Instead, the attacker would need to lure them there, typically by getting them to click a link that would take them to the attacker's site. - Code that executed on the system would only run under the privileges of the logged-on user. Risk Rating: ============ - Critical Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/ms03- 032.asp http://www.microsoft.com/security/security_bulletins/ms03- 032.asp for information on obtaining this patch. Acknowledgment: =============== - Microsoft thanks the following for working with us to protect customers: - Yu-Arai of LAC for reporting the language specific variant of the MS03-020 Object Type vulnerability (CAN-2003-0344), as well as the Browser Cache Script Execution in My Computer Zone problem to us. - eEye Digital Security for reporting the Object Type vulnerability to us. - Greg Jones from KPMG UK for reporting the BR549.DLL Buffer Overrun problem to us. - ----------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP0TPCukli63F4U8VAQHsmgP/RgCRzrRRphvmZtHwDs0mXnZcQmp0ZIn0 1xPE5vsYgtpnOUgOah50oRyDgWdbvj7N/Rc+0wXaJ2OWZYnSqSP4ZZfBxIxPcW+q rBrlVtqaw7ZKqGfRzggvfGmMHT4r8K1ke9YQG6L3KExaMjCqQfdzLFKFSM0RRzD1 AliB7PBRxkU= =mh0O -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Aug 22 10:03:27 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 22 Aug 2003 10:03:27 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Microsoft MDAC (823718) Message-ID: <20030822130327.GB7433@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Microsoft MDAC (823718) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 21 Aug 2003 11:11:04 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Microsoft, Microsoft Security Bulletin MS03-033: Unchecked Buffer in MDAC Function Could Enable System (823718), que trata de uma vulnerabilidade no Microsoft MDAC que e' parte integrante de todas as versoes da plataforma Windows e e' responsavel por prover conectividade de base de dados para o sistema operacional. Sistemas afetados: . Microsoft Data Access Components (MDAC) 2.5 . Microsoft Data Access Components (MDAC) 2.6 . Microsoft Data Access Components (MDAC) 2.7 Correcoes disponiveis: A correcao consiste na aplicacao do patch recomendado pela Microsoft e disponivel em: http://microsoft.com/downloads/details.aspx?FamilyId=9107ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en Maiores informacoes: http://www.microsoft.com/technet/security/bulletin/ms03-033.asp Identificador do CVE: CAN-2003-0353, (http://cve.mitre.org) O CAIS recomenda fortemente aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - ----------------------------------------------------------------- Title: Unchecked Buffer in MDAC Function Could Enable System Compromise (823718) Date: 20 August 2003 Software: - Microsoft Data Access Components 2.5 - Microsoft Data Access Components 2.6 - Microsoft Data Access Components 2.7 Impact: Run code of the attacker's choice Max Risk: Important Bulletin: MS03-033 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-033.asp http://www.microsoft.com/security/security_bulletins/ms03-033.asp - ----------------------------------------------------------------- Issue: ====== Microsoft Data Access Components (MDAC) is a collection of components that are used to provide database connectivity on Windows platforms. MDAC is a ubiquitous technology, and it is likely to be present on most Windows systems: - By default, MDAC is included by default as part of Microsoft Windows XP, Windows 2000, Windows Millennium Edition, and Windows Server 2003. (It is worth noting, though, that the version that is installed by Windows Server 2003 does not have this vulnerability.) - MDAC is available for download as a stand-alone technology. - MDAC is either included in or installed by a number of other products and technologies. For example, MDAC is included in the Microsoft Windows NT(r) 4.0 Option Pack and in Microsoft SQL Server 2000. Additionally, some MDAC components are present as part of Microsoft Internet Explorer even when MDAC itself is not installed. MDAC provides the underlying functionality for a number of database operations, such as connecting to remote databases and returning data to a client. When a client system on a network tries to see list of computers that are running SQL Server and that reside on the network, it sends a broadcast request to all the devices that are on the network. Due to a flaw in a specific MDAC component, an attacker could respond with a specially crafted packet that could cause a buffer overflow. An attacker who successfully exploited this flaw could gain the same level of privileges over the system as the application that initiated the broadcast request. The actions an attacker could carry out would be dependent on the permissions which the application using MDAC ran under. If the application ran with limited privileges, an attacker would be limited accordingly; however, if the application runs under the local system context, the attacker would have the same level of permissions. This could include creating, modifying, or deleting data on the system, or reconfiguring the system. This could also include reformatting the hard disk or running programs of the attacker's choice. This bulletin supercedes the patch discussed in MS02-040. Customers should install this patch as it contains the fix for the vulnerability discussed in bulletin MS02-040 and the patch discussed in this bulletin. Mitigating Factors: ==================== - For an attack to be successful an attacker would need to simulate a SQL server on the same subnet as the target system. - Code executed on the client system would only run under the privileges of the logged-on user. - MDAC version 2.8 (which is the version included with Windows Server 2003) does not contain the flaw that is addressed by this bulletin. Risk Rating: ============ - Important Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/ms03- 033.asp http://www.microsoft.com/security/security_bulletins/ms03- 033.asp for information on obtaining this patch. Acknowledgment: =============== - Microsoft thanks Aaron C. Newman of Application Security, Inc. for reporting this issue to us and for working with us to help protect customers. - ----------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP0TTA+kli63F4U8VAQGI4AQAob1bbIIekqCK5KYWGt8eIvaAet0EC9pC k80rLrebT81RpwC4s8rQ83PB+8+/t7l11rJJHYWghqaW7Wzv/ep08S2mDLKF9wOA tVndgRlQTIo+iKFYr1Jh4zmgjc0zOZyW8ihiL27A2GGJOHzsfq2PLJxxqFhCc2jA AVa8FA+irY8= =si// -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Aug 22 10:04:17 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 22 Aug 2003 10:04:17 -0300 Subject: [SECURITY-L] CAIS-Alerta: Variante do MSBlaster (Welchia ou Nachi) Message-ID: <20030822130413.GC7433@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Variante do MSBlaster (Welchia ou Nachi) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 21 Aug 2003 11:16:10 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Esta' circulando uma variante do worm MSBlaster, MSBlaster.D, tambem chamado de Welchia ou Nachi. A principal nova caraterisitica da variante e' que alem de explorar a vulnerabilidade do MS DCOM RPC, o worm explora uma antiga vulnerabilidade do WEBDAV. Outras caracteristicas do MSBlaster.D sao: . Tenta fazer o download da correcao para a vulnerabilidade do DCOM RPC atraves do site do Windows Update, em caso de sucesso o worm instalara' a correcao e reinicializara' o sistema. . Mapeia as maquinas que estao ligadas executando um PING (ICMP echo request), o que resulta em um aumento no trafego ICMP na rede. . Tenta remover o MSBlaster original, caso a maquina esteja infectada. Maiores informacoes sobre a vulnerabilidade do Windows WEBDAV e do worm MSBlaster.D podem ser obtidas nos seguintes enderecos: . Unchecked Buffer In Windows Component Could Cause Server Compromise (815021) http://www.microsoft.com/technet/security/bulletin/ms03-007.asp . CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL http://www.cert.org/advisories/CA-2003-09.html . Vulnerabilidade no IIS 5.0 http://www.rnp.br/cais/alertas/2003/ca200309.html . Informações adicionais sobre a vulnerabilidade do IIS 5.0 (815021) http://www.rnp.br/cais/alertas/2003/cais-alr-18032003.html . W32.Welchia.Worm http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html Maiores informacoes sobre a vulnerabilidade do Windows DCOM RPC e do worm MSBlaster podem ser obtidas nos seguintes enderecos: . Exploitation of Vulnerabilities in Microsoft RPC Interface http://www.cert.org/advisories/CA-2003-19.html . Exploração de Vulnerabilidades do Microsoft RPC http://www.rnp.br/cais/alertas/2003/CA200319.html . Atualização do alerta MS03-026 http://www.rnp.br/cais/alertas/2003/cais-alr-25072003.html . Vulnerabilidade no RPC da Microsoft (823980) http://www.rnp.br/cais/alertas/2003/MS03-026.html . Buffer Overrun In RPC Interface Could Allow Code Execution (823980) http://www.microsoft.com/technet/security/bulletin/ms03-026.asp O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados, alem de ficarem atentos a eventuais comportamentos anomalos dos servicos. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP0TUN+kli63F4U8VAQFGoAP8CQSBgRjE8EQSg05FexCEHveOjJNsz1qK LEpdVFoeCBuhaKk7e0z0WSyK4CQKXmmKrrwaPBeAC1khQQNGGhRPzbC3KDVGO8x8 kkLV6T2sV+ovL/MFsSE4J6tiMaqYZ10fBwzArWthS9pACJeL7L1WGjGYh+fPvonX ptQGEhnmREg= =ss51 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Aug 22 10:20:43 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 22 Aug 2003 10:20:43 -0300 Subject: [SECURITY-L] Browser da MS tem falha critica de seguranca Message-ID: <20030822132043.GD7433@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Browser da MS tem falha crXtica de seguranXa To: security em unicamp.br Date: Thu, 21 Aug 2003 14:27:40 -0300 (ART) Browser da MS tem falha crítica de segurança Quinta-feira, 21 de Agosto de 2003 - 11h05 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0045 A Microsoft lançou um novo patch para uma série de falhas do seu browser Internet Explorer, incluindo duas consideradas críticas para algumas versões do navegador, que poderá que uma pessoa não autorizada assuma o controle do computador do usuário. A empresa divulgou a correção para a falha, classificada de importante, no elemento MDAC (Microsoft Data Access Components) do seu sistema operacional. A falha crítica atinge as versões 5.01, 5.5, 6.0 e 6.0 SP1 (6.0 com o Service Pack 1 instalado) do browser. Ela pode permitir que um agressor rode um código arbitrário do sistema do usuário se ele visitar um Web site ou ler uma mensagem de e-mail em HTML (Hypertext Mark-up Language) desenhado para explorar a folha, informou a Microsoft. A falha também afeta o Internet Explorer 6.0 para Windows Server 2003, mas a Microsoft classificou-a apenas como "moderada". O navegador para este sistema operacional tem uma configuração que previne a exploração desta falha. No entanto, se o usuário mexeu na configuração considerada padrão do sistema, pode ficar vulnerável. A Microsoft diz que os administradores de sistemas devem imediatamente instalar o patch, que foi descrito no Micros patch, descrita no Microsoft Security Bulletin MS03-032 (http://www.microsoft.com/technet/security/bulletin/MS03-032.asp). [ Peter Sayer -- IDG News Service/França ] ----- End forwarded message ----- From security em unicamp.br Fri Aug 22 10:22:53 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 22 Aug 2003 10:22:53 -0300 Subject: [SECURITY-L] Virus Sobig.F e' o mais rapido de todos os tempos Message-ID: <20030822132253.GE7433@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: VXrus Sobig.F X o mais rXpido de todos os tempos To: security em unicamp.br Date: Thu, 21 Aug 2003 14:32:08 -0300 (ART) Vírus Sobig.F é o mais rápido de todos os tempos IDG News Service 21/08/2003 12:01 http://pcworld.terra.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=8204610&Area=975000 A mais recente versão do vírus Sobig, a Sobig.F, se espalhou com maior velocidade do que qualquer outro vírus até hoje, segundo a companhia de segurança MessageLabs, da Inglaterra. "Um e-mail em cada 17 leva o vírus", disse Paul Wood, analista-chefe de segurança da MessageLabs. "É o maior que já vimos até hoje. As vidas anteriores do Sobig evoluíram aos poucos e agora esse é o mais forte, pelo menos até agora", afirmou. Nas primeiras 24 horas que começou a se espalhar, o Sobig.F produziu mais de 1 milhão de cópias dele mesmo, segundo a MessageLabs. O provedor America Online bloqueou mais de 11,5 milhões de cópias do vírus desde que apareceu, na última segunda-feira. Até então, os vírus que se espalharam com mais rapidez foram o Klez e o Kournikova. O competidor mais próximo do Sobig.F foi o LoveBug, de setembro de 2000, com 1 mensagem infectada em cada 28 e-mails. O vírus se espalhou com rapidez por dois fatores, segundo Wood. O primeiro é que o Sobig.F pode enviar e-mails múltiplos simultaneamente, ao contrário de versões anteriores, que mandavam uma mensagem infectada por vez, "tornando a praga muito eficiente". O segundo motivo é que uma falha em versões anteriores foi corrigida agora. "O bug fazia com que muitos nomes de arquivos ficassem truncados, aparecendo como .pi no lugar de .pif, assim eles não rodavam. Agora, o criador corrigiu isso", informou o especialista. Segundo a MessageLabs, o Sobig.F ativa uma rotina de envio de e-mails em massa a cada 10 minutos em máquinas infectadas e tenta se espalhar em redes a cada 30 minutos. Ele também tenta se atualizar a cada hora e instalar um código malicioso no PC usando sites remotos. A recomendação é que os usuários atualizem seus antivírus e, se receberem mensagens suspeitas por e-mail, é melhor apagá-las. ----- End forwarded message ----- From security em unicamp.br Mon Aug 25 15:59:51 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 25 Aug 2003 15:59:51 -0300 Subject: [SECURITY-L] Sobig.F pode ter surgido em mensagens da Usenet Message-ID: <20030825185951.GH316@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Sobig.F pode ter surgido em mensagens da Usenet To: security em unicamp.br Date: Mon, 25 Aug 2003 14:55:14 -0300 (ART) Sobig.F pode ter surgido em mensagens da Usenet Segunda-feira, 25 de Agosto de 2003 - 11h23 IDG Now! http://idgnow.terra.com.br/idgnow/internet/2003/08/0061 A variante da praga Sobig, o Sobig.F, que pode ter infectado mais de 100 mil computadores em todo o mundo, deve ter surgido disfarçada por meio de uma foto pornográfica para grupos de discussão do serviço Usenet. O norte-americano Easynews, provedor de acesso da Usenet, foi intimado pelo FBI para explicar a denúncia de que a sua conta teria servido de porta de entrada para que o vírus fosse espalhado na Usenet. Na sexta-feira (22/08), após receber cópia da intimação, o provedor forneceu ao órgão do governo norte-americano todas as contas dos usuários. Uma mensagem da última segunda-feira (18/08), teria sido enviada a seis novos grupos da Usenet: alt.binaries.amp, alt.binaries.boneless, alt.binaries.nl, alt.binaries.pictures.chimera, alt.binaries.pictures.erotica e alt.binaries.pictures.erotica.amateur.female. Segundo a Easynews, a mensagem de título "Nice, who has more of it? DSC-00465.jpeg", continha uma foto que, ao ser clicada, infectou o navegador do computador com o worm. A companhia acredita que a conta tenha sido criada com o uso de um cartão de crédito roubado, com o propósito de espalhar o vírus na Usenet, criado minutos antes do envio pela web. Uma busca pelo arquivo Usenet no Google confirma a suspeita ao revelar uma mensagem de teste com o mesmo endereço do remetente: misiko em dot.com para o novo grupo alt.alt.test, feita nove minutos antes do envio. O provedor Realtime Communications, que opera o domínio dot.com domain, disse que a conta de e-mail listada é falsa. A empresa possui três contas de e-mail, mas nenhuma com o endereço misiko em dot.com. Investigadores do Canadá descobriram que as mensagens da Usenet naquele País são provenientes de computadores pessoais da British Columbia, infectados pelo vírus. [ Martyn Williams - IDG News Service, Japão ] ----- End forwarded message ----- From security em unicamp.br Mon Aug 25 16:14:33 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 25 Aug 2003 16:14:33 -0300 Subject: [SECURITY-L] FreeBSD Foundation Announces Native Support for Java JDK 1.3.1 on FreeBSD Message-ID: <20030825191429.GA1166@unicamp.br> ----- Forwarded message from "Justin T. Gibbs" ----- From: "Justin T. Gibbs" Subject: [FreeBSD-Announce] FreeBSD Foundation Announces Native Support for Java JDK 1.3.1 on FreeBSD To: freebsd-announce em FreeBSD.org Date: Mon, 25 Aug 2003 10:11:42 -0600 X-Mailer: Mulberry/3.1.0b5 (Linux/x86) Boulder, CO - August 25, 2003 - The FreeBSD Foundation today announced the availability of a binary distribution of the Java JDK version 1.3.1 for the widely used FreeBSD operating system. Wes Peters of the FreeBSD Core Team commented "This announcement hallmarks a new era of Java support for FreeBSD. Having easy to install binary Java packages will ensure that all users can enjoy the benefits of Java technology on the FreeBSD platform." Java users can download, without charge, the FreeBSD Foundation's Java distribution from . The FreeBSD Foundation is also providing OEM licenses to FreeBSD distributors, permitting them to ship out-of-the-box Java support with FreeBSD. Foundation Secretary and Treasurer, Justin T. Gibbs, pledged continued support for Java technology on the FreeBSD platform. "The FreeBSD Foundation is committed to keeping FreeBSD a Java enabled platform. With the 1.3.1 JDK release behind us, the Foundation has turned its attention toward the 1.4.X JDK. The volunteers working on FreeBSD Java support already have us most of the way there. The Foundation is now financing efforts to accelerate the completion of this work." Noting the importance of Java support to the FreeBSD user base was FreeBSD Foundation president Robert Watson. "Java support is critical to the success of FreeBSD in the enterprise-- this release will open many doors for the FreeBSD platform." About the FreeBSD Project The FreeBSD Project, a volunteer organization, provides a full 4.4BSD-Lite2 based operating system for the 32 and 64-bit Intel and AMD platforms and the 64-bit Alpha and UltraSPARC platforms. FreeBSD is widely used in the network server environment, powering over two million web servers and four million web sites worldwide, and is the basis for a broad array of embedded and server products. For more information, please visit FreeBSD on the Web at www.FreeBSD.org. About the FreeBSD Foundation The FreeBSD Foundation is a 501(c)(3) non-profit corporation dedicated to supporting the FreeBSD Project. The Foundation gratefully accepts donations from individuals and businesses, using them to fund projects which further the development of the FreeBSD operating system. For more information about the FreeBSD Foundation, visit their web site at . Press Contact press em FoundationFreeBSD.org FreeBSD is a registered trademark of Wind River Systems, used with permission. Sun, Sun Microsystems, Java and JDK are trademarks or registered trademarks of Sun Microsystems, Inc. ----- End forwarded message ----- From security em unicamp.br Mon Aug 25 16:29:15 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 25 Aug 2003 16:29:15 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030825192915.GB1166@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 20/08/2003 ---------- SANS NewsBites Vol. 5 Num. 33 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b12.txt 25/08/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 33 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b13.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Tue Aug 26 09:17:39 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 26 Aug 2003 09:17:39 -0300 Subject: [SECURITY-L] Empresas de antivirus de olho nos 'espioes' Message-ID: <20030826121738.GE1166@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Empresas de antivXrus de olho nos `espiXesX To: security em unicamp.br Date: Mon, 25 Aug 2003 20:18:41 -0300 (ART) Empresas de antivírus de olho nos `espiões´ Segunda-feira, 25 de Agosto de 2003 - 17h27 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0056 Nesta segunda-feira (25/08), as companhias de antivírus Symantec e a Network Associates Inc. (NAI) anunciaram a atualização dos seus produtos, com atenção especial para a caça aos "spywares", que se instalam no PC sem permissão, e aos vírus da internet. A Symantec revelou uma nova versão do seu carro-chefe, Norton Antivirus 2004, cujo grande atrativo é a possibilidade de detectar programas de spyware, que se instalam no PC sem permissão e invadem a privacidade dos usuários. A NAI, por sua vez, anunciou uma nova versão do seu software antivírus, McAfee VirusScan, que também localiza tanto o spyware quanto o adware, permitindo que os usuários visualizem e removam todos os programas intrusos. De acordo com o gerente de produto do Norton AntiVirus 2004, Kelly Martin, a nova versão ainda enfraquece programas de adware (software de anúncios), como o Gator. Contudo, a ferramenta não pode remover o software automaticamente, pois o mesmo é protegido por um acordo de licenciamento. Nas últimas duas semanas, a NAI tem voltado as suas atenções para um novo WormStopper, que desabilita o VirusScan, impedindo-o de localizar worms em caixas de e-mails, como os vírus Blaster e Sobig. Para analistas do setor, o problema é agravado principalmente pelo crescimento da popularidade dos programas de trocas de arquivos P2P, como Kazaa e Morpheus. [ Paul Roberts - IDG News Service/EUA ] ----- End forwarded message ----- From security em unicamp.br Tue Aug 26 09:18:46 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 26 Aug 2003 09:18:46 -0300 Subject: [SECURITY-L] Lancado kernel Linux 2.4.22 Message-ID: <20030826121846.GF1166@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: LanXado kernel Linux 2.4.22 To: security em unicamp.br Date: Tue, 26 Aug 2003 08:56:03 -0300 (ART) Lançado kernel Linux 2.4.22 Marcelo Tosatti, mantenedor do kernel 2.4, lançou oficialmente hoje a nova versão estável 2.4.22, que não teve modificações desde a versão 2.4.22-rc4, lançada ontem. Essa versão inclui um grande número de correções. Veja o histórico completo de alterações do kernel 2.4.22: http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.22 Fonte: http://kerneltrap.org/node/view/779 ----- End forwarded message ----- From security em unicamp.br Tue Aug 26 09:05:04 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 26 Aug 2003 09:05:04 -0300 Subject: [SECURITY-L] Especialistas alertam para surgimento de novo virus em setembro Message-ID: <20030826120504.GC1166@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Especialistas alertam para surgimento de novo vXrus em setembro To: security em unicamp.br Date: Mon, 25 Aug 2003 16:46:56 -0300 (ART) 25/08/2003 - 16h14 Especialistas alertam para surgimento de novo vírus em setembro da France Presse, em Washington (EUA) http://www1.folha.uol.com.br/folha/informatica/ult124u13735.shtml Especialistas em informática alertaram hoje que uma variação do vírus Sobig poderá aparecer por volta do dia 10 de setembro, no momento em que a versão original estaria programada para perder sua ação. De acordo com as fontes, o vírus, descrito como o de maior disseminação na história da internet, poderá se tornar mais perigoso em pouco tempo. A praga que atingiu milhões de computadores em todo o mundo se desativará em 10 de setembro. Isso levou a especulações de que uma nova versão possa surgir nos primeiros dias do mês. "O MO (modus operandi) do autor é divulgar uma nova versão pouco antes que a última expire", explicou Mark Summer, chefe de tecnologia da empresa de segurança para internet MessageLabs. "Eu diria que é muito provável que vejamos uma nova versão no dia 10 ou um pouco antes", acrescentou. Steven Sundermeier, da empresa de informática Central Command, reforçou a previsão de Summer, ao destacar que "caso a história se repita, estimamos que uma nova versão aparecerá por volta de 10 de setembro". ----- End forwarded message ----- From security em unicamp.br Tue Aug 26 16:27:35 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 26 Aug 2003 16:27:35 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030826192734.GA2473@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 16/08/2003 ---------- Debian Security Advisory (DSA 372-1) Assunto: vulnerabilidade de seguranca no pacote netris. http://www.security.unicamp.br/docs/bugs/2003/08/v53.txt Debian Security Advisory (DSA 373-1) Assunto: vulnerabilidade de seguranca no pacote autorespond. http://www.security.unicamp.br/docs/bugs/2003/08/v54.txt 18/08/2003 ---------- Debian Security Advisory (DSA 364-3) Assunto: vulnerabilidade de seguranca no pacote man-db. http://www.security.unicamp.br/docs/bugs/2003/08/v55.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:723) Assunto: Vulnerabilidade na criação de arquivo temporário no pacote openslp. http://www.security.unicamp.br/docs/bugs/2003/08/v56.txt REEDICAO: Anúncio de Segurança do Conectiva Linux (CLA-2003:724) Assunto: vulnerabilidade local no pacote unzip. http://www.security.unicamp.br/docs/bugs/2003/08/v57.txt 19/08/2003 ---------- CAIS-Alerta Assunto: Propagacao do virus W32.Sobig.F em mm http://www.security.unicamp.br/docs/bugs/2003/08/v58.txt Mandrake Linux Security Update Advisory (MDKSA-2003:073-1) Assunto: vulnerabilidade de seguranca no pacote unzip. http://www.security.unicamp.br/docs/bugs/2003/08/v59.txt Mandrake Linux Security Update Advisory (MDKSA-2003:083) Assunto: vulnerabilidade de seguranca no pacote eroaster. http://www.security.unicamp.br/docs/bugs/2003/08/v60.txt 20/08/2003 ---------- Microsoft Security Bulletin (MS03-033) Assunto: Unchecked Buffer in MDAC Function Could Enable System Compromise (823718). http://www.security.unicamp.br/docs/bugs/2003/08/v61.txt Microsoft Security Bulletin (MS03-032) Assunto: Cumulative Patch for Internet Explorer (822925). http://www.security.unicamp.br/docs/bugs/2003/08/v62.txt REVISED: Microsoft Security Bulletin (MS03-040) Assunto: Unchecked Buffer in MDAC Function Could Enable System Compromise (Q326574). http://www.security.unicamp.br/docs/bugs/2003/08/v63.txt REVISED: Microsoft Security Bulletin (MS03-030) Assunto: Unchecked Buffer in DirectX Could Enable System Compromise (819696). http://www.security.unicamp.br/docs/bugs/2003/08/v64.txt 21/08/2003 ---------- CAIS-Alerta Assunto: Patch Acumulativo para o Internet Explorer (822925). http://www.security.unicamp.br/docs/bugs/2003/08/v65.txt CAIS-Alerta Assunto: Vulnerabilidade no Microsoft MDAC (823718). http://www.security.unicamp.br/docs/bugs/2003/08/v66.txt CAIS-Alerta Assunto: Variante do MSBlaster (Welchia ou Nachi). http://www.security.unicamp.br/docs/bugs/2003/08/v67.txt Red Hat Security Advisory (RHSA-2003:258-01) Assunto: GDM allows local user to read any file. http://www.security.unicamp.br/docs/bugs/2003/08/v68.txt 22/08/2003 ---------- CAIS-Alerta Assunto: Acao programada do virus Sobig.F. http://www.security.unicamp.br/docs/bugs/2003/08/v69.txt 24/08/2003 ---------- Slackware Security Advisory (SSA:2003-236-01) Assunto: GDM security update. http://www.security.unicamp.br/docs/bugs/2003/08/v70.txt 25/08/2003 ---------- Slackware Security Advisory (SSA:2003-236-01) Assunto: unzip vulnerability patched. http://www.security.unicamp.br/docs/bugs/2003/08/v71.txt 26/08/2003 ---------- FreeBSD Security Advisories (FreeBSD-SA-03:11) Assunto: sendmail DNS map problem. http://www.security.unicamp.br/docs/bugs/2003/08/v72.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Wed Aug 27 10:34:54 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 27 Aug 2003 10:34:54 -0300 Subject: [SECURITY-L] CERT Advisory CA-2003-22 Multiple Vulnerabilities in Microsoft Internet Explorer Message-ID: <20030827133454.GA291@unicamp.br> ----- Forwarded message from CERT Advisory ----- From: CERT Advisory Subject: CERT Advisory CA-2003-22 Multiple Vulnerabilities in Microsoft Internet Explorer To: cert-advisory em cert.org Date: Tue, 26 Aug 2003 16:19:09 -0400 Organization: CERT(R) Coordination Center - +1 412-268-7090 -----BEGIN PGP SIGNED MESSAGE----- CERT Advisory CA-2003-22 Multiple Vulnerabilities in Microsoft Internet Explorer Original issue date: August 26, 2003 Last revised: -- Source: CERT/CC A complete revision history is at the end of this file. Systems Affected Microsoft Windows systems running * Internet Explorer 5.01 * Internet Explorer 5.50 * Internet Explorer 6.01 Previous, unsupported versions of Internet Explorer may also be affected. Overview Microsoft Internet Explorer (IE) contains multiple vulnerabilities, the most serious of which could allow a remote attacker to execute arbitrary code with the privileges of the user running IE. I. Description Microsoft Security Bulletin MS03-032 describes five vulnerabilities in Internet Explorer. These vulnerabilities are listed below. More detailed information is available in the individual vulnerability notes. Note that in addition to IE, any applications that use the IE HTML rendering engine to interpret HTML documents may present additional attack vectors for these vulnerabilities. VU#205148 - Microsoft Internet Explorer does not properly evaluate Content-Type and Content-Disposition headers A cross-domain scripting vulnerability exists in the way IE evaluates Content-Type and Content-Disposition headers and checks for files in the local browser cache. This vulnerability could allow a remote attacker to execute arbitrary script in a different domain, including the Local Machine Zone. (Other resources: SNS Advisory No.67, CAN-2003-0531) VU#865940 - Microsoft Internet Explorer does not properly evaluate "application/hta" MIME type referenced by DATA attribute of OBJECT element IE will execute an HTML Application (HTA) referenced by the DATA attribute of an OBJECT element if the Content-Type header returned by the web server is set to "application/hta". An attacker could exploit this vulnerability to execute arbitrary code with the privileges of the user running IE. (Other resources: eEye Digital Security Advisory AD20030820, CAN-2003-0532) VU#548964 - Microsoft Windows BR549.DLL ActiveX control contains vulnerability The Microsoft Windows BR549.DLL ActiveX control, which provides support for the Windows Reporting Tool, contains an unknown vulnerability. The impact of this vulnerability is not known. VU#813208 - Internet Explorer does not properly render an input type tag IE does not properly render an input type tag, allowing a remote attacker to cause a denial of service. VU#334928 - Microsoft Internet Explorer contains buffer overflow in Type attribute of OBJECT element on double-byte character set systems Certain versions of IE that support double-byte character sets (DBCS) contain a buffer overflow vulnerability in the Type attribute of the OBJECT element. A remote attacker could execute arbitrary code with the privileges of the user running IE. (Other resources: SNS Advisory No.68, Microsoft Security Bulletin MS03-020, CAN-2003-0344) II. Impact These vulnerabilities have different impacts, ranging from denial of service to execution of arbitrary commands or code. Please see the individual vulnerability notes for specific information. The most serious of these vulnerabilities (VU#865940) could allow a remote attacker to execute arbitrary code with the privileges of the user running IE. The attacker could exploit this vulnerability by convincing the user to access a specially crafted HTML document, such as a web page or HTML email message. No user intervention is required beyond viewing the attacker's HTML document with IE. III. Solution Apply a patch Apply the appropriate patch as specified by Microsoft Security Bulletin MS03-032. In addition to addressing these vulnerabilities, the patch also changes the behavior of the HTML Help system (see VU#25249): As with the previous Internet Explorer cumulative patches released with bulletins MS03-004, MS03-015, and MS03-020 this cumulative patch will cause window.showHelp() to cease to function if you have not applied the HTML Help update. If you have installed the updated HTML Help control from Knowledge Base article 811630, you will still be able to use HTML Help functionality after applying this patch. Appendix A. Vendor Information This appendix contains information provided by vendors. When vendors report new information, this section is updated and the changes are noted in the revision history. If a vendor is not listed below, we have not received their comments. Microsoft Please see Microsoft Security Bulletin MS03-032. Appendix B. References * CERT/CC Vulnerability Note VU#205148 - * CERT/CC Vulnerability Note VU#865940 - * CERT/CC Vulnerability Note VU#548964 - * CERT/CC Vulnerability Note VU#813208 - * CERT/CC Vulnerability Note VU#334928 - * CERT/CC Vulnerability Note VU#25249 - * eEye Digital Security Advisory AD20030820 - * SNS Advisory No. 67 - * SNS Advisory No. 68 - * Microsoft Security Bulletin MS03-032 - * Microsoft KB Article 822925 - _________________________________________________________________ Microsoft credits eEye Digital Security, LAC, and KPMG UK for reporting these vulnerabilities. Information from eEye, LAC, and Microsoft was used in this document. _________________________________________________________________ Feedback can be directed to the author, Art Manion. ______________________________________________________________________ This document is available from: ______________________________________________________________________ CERT/CC Contact Information Email: Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site To subscribe to the CERT mailing list for advisories and bulletins, send email to . Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History August 26, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP0u+smjtSoHZUTs5AQF7FwQAl/9veQraef6h9lFcN+5dtxDz2xAecek/ NUPTSzatHC+E1pc+f2IcqJh01YMsM1BXpr6sPmA5FK+2fvfuvj875NnIXIztxYWe yV5howmUOCSPpDuV6Nasdebqq4mlBygO4R8gx1MeUBj4BEvG7mLs7k7z24kkDodv cf0X647ejlM= =UWNE -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 27 10:46:33 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 27 Aug 2003 10:46:33 -0300 Subject: [SECURITY-L] Existem codigos maliciosos beneficos? Message-ID: <20030827134633.GB291@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Existem cXdigos maliciosos benXficos? To: security em unicamp.br Date: Tue, 26 Aug 2003 18:46:32 -0300 (ART) Existem códigos maliciosos benéficos? 26/8/2003 - 16:06 Divulgação www.infoguerra.com.br Na semana passada, surgiu um worm, batizado de MSBlast.D pela Trend Micro, e de Welchia ou Nachi por outras empresas antivírus. A característica que mais chamava a atenção para o worm era sua capacidade de explorar a mesma vulnerabilidade do Windows que possibilitou, poucos dias antes, a rápida disseminação do Blaster, porém com um detalhe: o MSBlast.D não só eliminava o Blaster de sistemas contaminados, como aplicava as correções de segurança disponibilizadas pela Microsoft no mês passado, de modo a evitar novas reinfecções do sistema. Por isso, ele foi chamado de "vírus do bem" por alguns sites. Mas seus efeitos colaterais não tardaram a aparecer, entre eles a enorme quantidade de tráfego gerado pela praga com o objetivo de baixar as correções necessárias, o que fez com que algumas redes se tornassem extremamente lentas. A cura parecia ser pior do que a doença e o surgimento do MSBlast.D reacendeu uma velha discussão entre a comunidade de segurança: o uso de vírus para automatizar a execução de tarefas benéficas. Houve quem defendesse essa prática, mas muitos se mostraram radicalmente contra. Para esclarecer esta questão, o diretor da Trend Micro do Brasil, Miguel Macedo, enviou, hoje, o artigo abaixo: O conceito de um código malicioso "benéfico" tem sido discutido há anos na comunidade de segurança. Alguns de seus partidários defendem isto como uma forma de empurrar aplicativos remediadores para usuários que demoram a reagir ou para conquistar uma posição dominante na luta contra códigos maliciosos. Antes do recente ataque do vírus MS_Blast.D, surgiram vários candidatos ao posto de primeiro "código malicioso benéfico". Vejamos alguns exemplos: Durante o surto do Code Red em 2001, um worm chamado Code Green procurou defender os servidores da Web contra a infecção. Ainda antes, em 2001, o worm conhecido como Cheese procurou reparar os sistemas Linux infectados pelo vírus Li0n. Entretanto, a maior parte da comunidade de tecnologia de informação (TI) continua a apoiar a idéia de que um código malicioso "benéfico" constitui uma contradição e que não há nenhuma tarefa legítima que exija um código malicioso. Se você fosse um administrador de TI, lutando para instalar o patch mais recente da Microsoft, sem dúvida um código malicioso para sua instalação lhe pareceria ser uma idéia tentadora. Não seria necessário educar, incentivar ou convencer os usuários da necessidade de instalar o patch mais recente ou uma versão aprimorada do sistema. Se os usuários mais teimosos ou inaptos não quisessem participar do programa e seguir as suas sugestões, não haveria problema. Seria questão de só soltar o worm instalador do patch para resolver a questão e os sistemas destes usuários rapidamente entrariam em linha, querendo ou não. Embora esta seja uma agradável fantasia, perceba que ela não é muito compatível com os mais altos ideais de bom desenvolvimento e distribuição de software. Quais são algumas das virtudes da boa distribuição de software? Muitos listariam o seguinte: - Permitir que os usuários escolham entre diferentes alternativas. - Adaptação da instalação ao host. - Possibilidade de se abortar a instalação, desinstalar o programa ou reverter a instalação com facilidade. - Revelar claramente o que foi instalado e onde. Seriam também estas as qualidades de um código malicioso bem-sucedido? Não, elas passam longe. Na realidade, constituem o seu oposto. Um código malicioso típico se instala sem o conhecimento ou consentimento do usuário, portanto, escolhas e alternativas não vêm ao caso. É um programa inflexível, que se reproduz continuamente em uma autopropagação cega, escapando de ambientes confinados até que finalmente se consiga detê-lo. Poderíamos argumentar que um código malicioso é capaz de instalar um patch ou eliminar um outro código malicioso discretamente, sem incomodar o usuário. Entretanto, há uma diferença entre não incomodá-lo e não informá-lo. Mesmo quando os códigos maliciosos se fazem sentir, ainda assim não solicitam o consentimento do usuário. Pergunte às pessoas cujo equipamento foi reinicializado de repente, sem advertência, pelo worm Blaster. Se você comparar o comportamento dos códigos maliciosos, sejam eles benéficos ou maléficos, com as melhores práticas habituais de desenvolvimento e distribuição de software, torna-se cada vez mais evidente que há contradições fundamentais entre os dois. Os problemas surgem da própria natureza da propagação virótica. Independentemente dos argumentos desenvolvidos a favor do mais recente código malicioso "benéfico", muitos especialistas em segurança continuarão a insistir que os códigos maliciosos não constituem uma ferramenta de TI apropriada. Abaixo, discutimos apenas uma parcela das questões levantadas. Um dos problemas mais elementares de todos os códigos maliciosos é que eles funcionam nos computadores das pessoas sem sua permissão. Um código malicioso supostamente benéfico também se propaga e se auto-executa sem permissão, além de consumir largura de banda de rede, ciclos de processador, memória e espaço em disco. Ele impede que o proprietário do sistema possa fazer uso desses recursos, exatamente da mesma forma que um ataque DDoS (Distributed Denial Of Service) faz. A maioria dos usuários acredita ter o direito de controlar totalmente tudo que se passa em seu equipamento. Um outro problema é o controle de qualidade -- basicamente, este não existiria. Como ninguém se responsabiliza por um código malicioso, não se pode imputar responsabilidade a ninguém quando o código não se desempenha da forma planejada ou apresenta efeitos colaterais inesperados e nocivos. Ainda que o desenvolvedor do código se responsabilize por ele, tão logo um programa começa a propagar-se de forma virótica, torna-se impossível manter controle de sua área de propagação, daquilo que ele faz, ou do que acontece com o código. Um código malicioso que se propague livremente encontrará muitos sistemas e configurações diferentes. O volume destas será grande demais para que se possam fazer previsões ou testes antecipadamente. Os efeitos da interação do código malicioso com vários sistemas são desconhecidos, portanto um desenvolvedor de código malicioso não pode argumentar que o código não causará danos. Para que um código malicioso se mantivesse "benéfico", teria que operar de forma quase perfeita ao longo do seu ciclo de vida. Um código malicioso desenvolvido para deletar outros códigos maliciosos, por exemplo, não poderia se equivocar, confundindo aplicativos legítimos com seus objetivos. E se ele excluísse novos softwares de jogos, ou o Word da Microsoft? Um código malicioso pode ser facilmente seqüestrado ou mal utilizado. Um atacante, por exemplo, poderia empregar um deles para obter acesso a algum sistema, ou como veículo de propagação de algum outro código malicioso, etc. Mutações podem ocorrer como resultado de corrupção ou de modificações deliberadas voltadas à produção de variantes. Um desenvolvedor amador de códigos maliciosos ou um script kid poderiam copiar um código malicioso "benéfico" competentemente desenvolvido e utilizá-lo para fins criminosos. O reconhecimento é difícil. Como um usuário consegue distinguir um código malicioso "benéfico" de um "maléfico"? Como os aplicativos antivírus e outros aplicativos de segurança farão esta diferenciação? Defesas genéricas antivírus registrarão alarmes falso-positivos ao detectar tais códigos maliciosos. Finalmente, algumas pessoas argumentam que alguns códigos maliciosos "benéficos" geram uma desculpa para comportamentos irresponsáveis. Os desenvolvedores de códigos maléficos podem tentar justificar suas atividades argumentando que estão realizando algum tipo de "pesquisa". Ao final das contas, seria suficiente que os códigos maliciosos simplesmente realizassem algo de benéfico? Não resta dúvidas de que alguns deles atendem a este critério. Mas serão eles a melhor ferramenta para o problema? Se uma tarefa pode ser realizada com o mesmo padrão de qualidade ou ainda melhor, de outra forma, com menor risco de efeitos negativos, então os códigos maliciosos realmente ainda não foram legitimados. No caso da instalação de patches, há uma variedade de soluções profissionais no mercado, conhecidas pela sua facilidade de utilização, flexibilidade e automação, que permitem aos administradores criarem pacotes de instalação com facilidade. Uma rápida busca na Internet apresentará alguns destes. E a Microsoft com certeza vai se esforçar para tornar o processo de instalação de patches cada vez mais fácil e simples. É difícil acreditarmos que um código malicioso imprevisível possa oferecer uma alternativa responsável ou constituir uma parte indispensável do processo. No dia em que um desenvolvedor de códigos maliciosos conseguir identificar uma tarefa legítima que só possa ser realizada por meio de um código malicioso, a comunidade de segurança talvez venha a reconsiderar sua opinião sobre os códigos maliciosos "benéficos". Mas, ao observar o impacto do MSBlast.D, é melhor esperar sentado. Por Miguel Macedo, diretor da Trend Micro do Brasil ----- End forwarded message ----- From security em unicamp.br Wed Aug 27 10:47:01 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 27 Aug 2003 10:47:01 -0300 Subject: [SECURITY-L] Membro da comunidade de software livre ataca site da SCO Message-ID: <20030827134700.GC291@unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] Membro da comunidade de software livre ataca site da SCO To: seguranca em pangeia.com.br Date: Tue, 26 Aug 2003 21:29:45 -0300 [http://www.computerworld.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=25964&Area=51] Negócios São Paulo, 26 de Agosto de 2003 Membro da comunidade de software livre ataca site da SCO O site da SCO, www.sco.com, voltou a ficar inacessível nesta terça-feira (26/08), de acordo com relatório da Netcraft Ltd., empresa que monitora a internet. No final de semana, o mesmo endereço ficou três dias fora do ar em razão de um ataque de denial of service. Só ontem (25/08), o site voltou à normalidade. A nova queda do site fez com que a Netcraft soltasse um relatório em que dizia que o site da SCO estava novamente fora do ar. Dessa vez, a SCO alega testes em seus servidores para evitar os efeitos de um novo futuro ataque, como a causa para a queda dos serviços, segundo Marc Modersitzki, porta-voz da empresa. De acordo com o advogado da comunidade de código aberto, Eric Raymond, o ataque do final de semana foi lançado por um membro antigo da comunidade de software livre e da infra-estrutura da internet, preocupado com o conflito entre SCO e Linux, no que tange à expansão de serviços. Raymond disse que não conhece a identidade exata da pessoa que fez o ataque ao site da SCO. "Ele é um de nós. Faz parte da comunidade de software de código aberto e de infra-estrutura de internet e é muito antigo", declarou. Os ataques de DoS costumam tirar do ar web sites utilizando-se de tráfico de redes desabilitadas. O ataque da última semana não foi o primeiro ao site da SCO. No início de maio, o web site da companhia ficou fora do ar por várias horas devido a um ataque de DoS. A empresa e o FBI ainda trabalham para punir o responsável pelo problema. O diretor executivo da SCO, Darl McBride, considera os ataques de DoS como cyberterrorismo. O dirigente afirma ainda que tirar web sites do ar é contra a lei e acarreta prejuízos ao comércio na rede. Com tradução do IDG NOW! ----- End forwarded message ----- From security em unicamp.br Wed Aug 27 10:47:45 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 27 Aug 2003 10:47:45 -0300 Subject: [SECURITY-L] PHP 4.3.3 Message-ID: <20030827134744.GD291@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: PHP 4.3.3 To: security em unicamp.br Date: Wed, 27 Aug 2003 10:47:07 -0300 (ART) PHP 4.3.3 Lançada ontem (25/08) a nova versão 4.3.3 do PHP. Changelog em: http://www.php.net/ChangeLog-4.php#4.3.3 Downloads em: http://www.php.net/downloads.php ----- End forwarded message ----- From security em unicamp.br Wed Aug 27 15:24:26 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 27 Aug 2003 15:24:26 -0300 Subject: [SECURITY-L] CAIS-Alerta: Lista negra relays.osirusoft.com desativada Message-ID: <20030827182425.GE291@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Lista negra relays.osirusoft.com desativada To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 27 Aug 2003 14:31:18 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS teve noticia, atraves de informacoes obtidas em listas de segurança confiáveis, de que uma das mais utilizadas listas negras de Open Relays foi desativada devido aos sucessivos ataques de DDoS que vinha sendo vitima. Trata-se da relays.osirusoft.com. Maiores informacoes a este respeito podem ser obtidas em: http://www.merit.edu/mail.archives/nanog/msg12818.html http://www.zdnet.com.au/newstech/communications/story/0,2000048620,20277794,00.htm O CAIS relembra aos administradores que possuem servidores SMTP configurados com a lista negra relays.osirusoft.com, a necessidade de retirar as referencias ao site desativado de suas configuracoes. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP0zq7ekli63F4U8VAQGFFQP+LRy5B/exQdLC3DO44vyswAXqDhz00/SY mBiLL0qnybd3pZB7dvlpUGAL+zA5W9+eUDlqTNWbre3zpsWezM1lh+zBlCzX0nAy KrLeZA7WRPhI1uBbtd3dPVjQv+CBhB0z3Mt8fBd9liA+7mjyo1IgFLezThu3HuFC zkFnT5MsXKE= =TiKU -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Aug 28 10:06:48 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 28 Aug 2003 10:06:48 -0300 Subject: [SECURITY-L] Falha no Sendmail permite invasao do sistema Message-ID: <20030828130648.GA345@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Falha no Sendmail permite invasXo do sistema To: security em unicamp.br Date: Wed, 27 Aug 2003 20:30:01 -0300 (ART) Falha no Sendmail permite invasão do sistema Quarta-feira, 27 de agosto de 2003 - 19h27 SÃO PAULO - Uma falha de segurança no programa Sendmail permite a invasão do servidor e a execução remota de programas. O Sendmail é um servidor de e-mail largamente utilizado em plataformas Linux e Unix. A vulnerabilidade atinge atinge todas as versões 8.12.x anteriores à 8.12.9. O problema ocorre quando o servidor de e-mail usa os mapas de DNS. Para explorar essa falha, o atacante precisa preparar uma resposta do servidor de DNS que provoca um estouro de memória no Sendmail. O Sendmail Consortium, entidade que desenvolve o produto, recomenda o upgrade das versões para a 8.12.9, que não tem o problema, ou o uso de uma correção no código. Para obter a a versão 8.12.9, vá ao endereço www.infoexame.com.br/aberto/download/3493.shl. Carlos Machado, da INFO http://info.abril.com.br/aberto/infonews/082003/27082003-12.shl ----- End forwarded message ----- From security em unicamp.br Thu Aug 28 10:10:07 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 28 Aug 2003 10:10:07 -0300 Subject: [SECURITY-L] Microsoft oferece suporte gratis a usuarios do Exchange 5.5 Message-ID: <20030828131007.GB345@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Microsoft oferece suporte grXtis a usuXrios do Exchange 5.5 To: security em unicamp.br Date: Wed, 27 Aug 2003 20:31:50 -0300 (ART) Microsoft oferece suporte grátis a usuários do Exchange 5.5 Quarta-feira, 27 de Agosto de 2003 - 18h15 IDG Now! http://idgnow.terra.com.br/idgnow/internet/2003/08/0077 Na segunda-feira (25/08), a Microsoft anunciou que dará um prazo maior de migração dos usuários do Exchange 5.5, além de suporte gratuito durante um ano no servidor de mensagens. A companhia espera que, durante o ano de suporte grátis que inclui correções e suporte por incidente os usuários tenham condições de migrar para o Exchange 2000 ou para o Exchange 2003, a ser lançado em 21 de outubro. Com a medida, a Microsoft imagina evitar que os consumidores passem a utilizar plataformas rivais. A empresa ainda acrescenta ter intenção de atingir por volta de 100 milhões de usuários do Exchange na versão "Kodiak", que atua na sua plataforma .Net. A Kodiak não deve ser lançada antes de 2006. A Microsoft informa que o suporte se estende até o fim de 2005, quando nenhuma outra forma de ajuda será disponibilizada aos usuários. Estima-se que 40% e 60% dos consumidores ainda utilizam a plataforma 5.5 do Exchange, o que tem despertado a atenção dos rivais IBM/Lotus, Novell Inc., entre outros fornecedores. Apesar da ameaça, o diretor da plataforma Exchanged, Missy Stern, acredita não haver risco de perda de clientes. "Temos confiança de que os usuários migrarão para Exchange 2003", enfatiza o dirigente. [ John Fontana - InfoWorld, EUA ] ----- End forwarded message ----- From security em unicamp.br Thu Aug 28 10:13:38 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 28 Aug 2003 10:13:38 -0300 Subject: [SECURITY-L] Symantec adota ativacao de produto na linha 2004 Message-ID: <20030828131337.GC345@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Symantec adota ativaXXo de produto na linha 2004 To: security em unicamp.br Date: Wed, 27 Aug 2003 20:33:24 -0300 (ART) Symantec adota ativação de produto na linha 2004 Tom Mainelli 27/08/2003 17:07 A gigante do software Symantec é mais uma empresa a adotar a tecnologia de ativação de produto em sua próxima linhas de produtos, começando com o Norton Antivirus 2004. Os consumidores que não ativarem o software contatando a fabricante em 15 dias após a instalação vão ficar com um aplicativo sem uso. Os executivos da Symantec dizem que o processo de ativação de produto será tão simples que a maioria dos usuários não vão nem se importar com isso. Eles também estão confiantes que as medidas vão conseguir prevenir a ação de piratas de software em larga escala. Após a compra e instalação de uma nova aplicação da Symantec, o consumidor terá até 15 dias para completar o processo de ativação, segundo Del Smith, gerente de produto da fabricante. A automação do processo de ativação ocorre com a ajuda de um ajudante virtual. Primeiro será necessário informar a chave do software, impressa na capa do CD. Daqui em diante, o ajudante vai checar a configuração de hardware, incluíndo o número de série do disco rígido e configuração, além de placas de rede e vídeo, segundo Smith. Baseado nessas informações, o assistente cria um código alfanumérico. Se o software detectar uma conexão à Internet, ele envia o código à Symantec. Se não, o ajudante pedirá ao cliente para ligar para um telefone e completar a ativação. "Todo o processo levará poucos minutos", diz o gerente. Se o usuário atualizar o PC com novo hardware ou mudar o software para um novo PC, será necessário reativar o programa. Os produtos poderão ser ativados até cinco vezes, número que a companhia considera mais que suficiente para a maioria dos usuários. A companhia planeja implementar a tecnologia de ativação nas versões em inglês da linha de produtos domésticos para 2004, que inclui também o Norton SystemWorks, Norton Internet Security e Norton Personal Firewall. A Symantec estima que, por ano, são distribuídas mais de 3,6 milhões de cópias ilegais dos seus programas por organizações de pirataria de software. "Esses produtos também são um risco para o comprador", diz Smith. "Afinal, essas cópias não têm documentação técnica ou serviço de suporte. Além disso, eles estão expostos a discos com problemas, software ineficiente e até vírus." O recurso de ativação é usado também pela Microsoft e foi adotado recentemente pela Macromedia e Adobe. (PC World.com/EUA) http://pcworld.terra.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=8204641&Area=975000 ----- End forwarded message ----- From security em unicamp.br Fri Aug 29 08:52:29 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 29 Aug 2003 08:52:29 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade remota no Sendmail Message-ID: <20030829115229.GI345@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade remota no Sendmail To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 28 Aug 2003 16:35:12 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta repassando o alerta divulgado pelo Projeto FreeBSD, "FreeBSD-SA-03:11.sendmail Sendmail DNS MAP problem", a respeito de uma vulnerabilidade do tipo "buffer overflow" no Sendmail. Tal vulnerabilidade pode permitir a um atacante causar um ataque do tipo negacao de servico (DoS). As versoes do Sendmail afetadas possuem um erro no codigo que trata as respostas a requisicoes DNS MAP, permitindo a um atacante enviar pacotes especialmente construidos causando indisponibilidade do sistema. Apesar de nao existir nenhum caso comprovado, esse problema pode permitir outras formas de ataque, tal como execucao de codigo arbitrario. * Sistemas afetados: . Sistemas Unix e Linux executando a versao publica do Sendmail nas versoes 8.12.0 a 8.12.8. * Correcoes disponiveis: Recomenda-se fazer a atualizacao para a versao 8.12.9, disponivel em: http://www.sendmail.org/8.12.9.html Alternativamente, pode-se aplicar a correcao ("patch") respectiva. Tais correcoes podem ser obtidas acessando a seguinte URL: http://www.sendmail.org/patchps.html Caso voce nao tenha condicoes de fazer a atualizacao ou aplicar o patch *imediatamente*, uma forma de reduzir o impacto da vulnerabilidade e´ desabilitar o suporte a DNS MAP no arquivo sendmail.cf. * Maiores informacoes: http://www.sendmail.org http://www.sendmail.org/8.12.9.html http://www.sendmail.com/security http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/54367 * Identificador CVE: CAN-2003-0688, (http://cve.mitre.org) O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes disponibilizadas pelos fabricantes. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ ============================================================================= FreeBSD-SA-03:11.sendmail Security Advisory The FreeBSD Project Topic: sendmail DNS map problem Category: contrib Module: contrib_sendmail Announced: 2003-08-26 Credits: Oleg Bulyzhin Affects: 4.6-RELEASE (up to -p16), 4.7-RELEASE (up to -p13), 4.8-RELEASE (up to -p3), 5.0-RELEASE (up to -p11) 4-STABLE prior to Mar 29 19:33:18 2003 UTC Corrected: 2003-08-25 22:33:14 UTC (RELENG_5_0) 2003-08-25 22:35:23 UTC (RELENG_4_8) 2003-08-25 22:36:10 UTC (RELENG_4_7) 2003-08-25 22:38:53 UTC (RELENG_4_6) FreeBSD only: NO For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit . I. Background FreeBSD includes sendmail(8), a general purpose internetwork mail routing facility, as the default Mail Transfer Agent (MTA). II. Problem Description Some versions of sendmail (8.12.0 through 8.12.8) contain a programming error in the code that implements DNS maps. A malformed DNS reply packet may cause sendmail to call `free()' on an uninitialized pointer. NOTE: The default sendmail configuration in FreeBSD does not utilize DNS maps. III. Impact Calling `free()' on an uninitialized pointer may result in a sendmail child process crashing. It may also be possible for an attacker to somehow influence the value of the `uninitialized pointer' and cause an arbitrary memory trunk to be freed. This could further lead to some other exploitable vulnerability, although no such cases are known at this time. IV. Workaround Do not use DNS maps. V. Solution Do one of the following: 1) Upgrade your vulnerable system to 4-STABLE, 5.1-RELEASE, or to the RELENG_5_1, RELENG_4_8, or RELENG_4_7 security branch dated after the correction date (5.1-RELEASE-p11, 4.8-RELEASE-p4, or 4.7-RELEASE-p14, respectively). 2) To patch your present system: The following patch has been verified to apply to FreeBSD 5.0, 4.8, 4.7, and 4.6 systems. a) Download the relevant patch from the location below, and verify the detached PGP signature using your PGP utility. ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:11/sendmail.patch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:11/sendmail.patch.asc b) Execute the following commands as root: # cd /usr/src # patch < /path/to/patch # cd /usr/src/lib/libsm # make obj && make depend && make # cd /usr/src/lib/libsmutil # make obj && make depend && make # cd /usr/src/usr.sbin/sendmail # make obj && make depend && make && make install c) Restart sendmail. Execute the following command as root. # /bin/sh /etc/rc.sendmail restart VI. Correction details The following list contains the revision numbers of each file that was corrected in FreeBSD. Path Revision Branch - ------------------------------------------------------------------------- src/UPDATING RELENG_5_0 1.229.2.17 RELENG_4_8 1.73.2.80.2.6 RELENG_4_7 1.73.2.74.2.17 RELENG_4_6 1.73.2.68.2.45 src/sys/conf/newvers.sh RELENG_5_0 1.48.2.12 RELENG_4_8 1.44.2.29.2.5 RELENG_4_7 1.44.2.26.2.16 RELENG_4_6 1.44.2.23.2.34 src/contrib/sendmail/src/sm_resolve.c RELENG_5_0 1.1.1.4.2.1 RELENG_4_8 1.1.1.1.2.2.4.1 RELENG_4_7 1.1.1.1.2.2.2.1 RELENG_4_6 1.1.1.1.2.1.2.2 - ------------------------------------------------------------------------- VII. References -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP05Zdukli63F4U8VAQFxqAQAsoHsXR2kGPUwWdk3MFgmdOue87dr6PUX stYL1lrixKrF3FnraMCv8pAWrCEurGTwn1FcJX9lNxoqzTpglB7MLAwjoxgOMR0/ 7JlC70d/BpHZmJHtZcV5OxdoX/CfmJK472+7OGjlPrzv51EVegpJWqg28S3ZKq34 HJvTna5iYpk= =metQ -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Aug 28 15:48:05 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 28 Aug 2003 15:48:05 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030828184805.GG345@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 25/08/2003 ---------- Módulo Security News no. 306 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/08/b14.txt 27/08/2003 ---------- SANS NewsBites Vol. 5 Num. 34 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/08/b15.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Fri Aug 29 13:05:12 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 29 Aug 2003 13:05:12 -0300 Subject: [SECURITY-L] SpamAssassin 2.60 rc3 Message-ID: <20030829160511.GK345@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: SpamAssassin 2.60 rc3 To: security em unicamp.br Date: Fri, 29 Aug 2003 11:47:16 -0300 (ART) SpamAssassin 2.60 rc3 Enviado em: Friday, August 29 @ 11:29:36 BRT http://www.linuxsecurity.com.br/article.php?sid=7773&mode=thread&order=0 SpamAssassin é um filtro de emails que utiliza análises de texto para identificar SPAM... Uma vez identificado, o email pode ser opcionalmente marcado como SPAM para filtragem posterior utilizando mecanismos de seu próprio MUA... SpamAssassin também oferece uma ferramenta de comando de linha para filtragem utilizando módulos PERL próprios, permitindo que o mesmo possa ser usado como proteção de spam em servidores proxy POP/IMAP... Site: http://spamassassin.taint.org/ Download: http://spamassassin.taint.org/downloads.html ----- End forwarded message ----- From security em unicamp.br Fri Aug 29 13:05:52 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 29 Aug 2003 13:05:52 -0300 Subject: [SECURITY-L] Seguranca MySQL passo a passo Message-ID: <20030829160551.GL345@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: SeguranXa MySQL passo a passo To: security em unicamp.br Date: Fri, 29 Aug 2003 11:48:17 -0300 (ART) Segurança MySQL passo a passo Enviado em: Friday, August 29 @ 11:33:18 BRT http://www.linuxsecurity.com.br/article.php?sid=7774&mode=thread&order=0 Artigo escrito por Artur Maj para a SecurityFocus Online, descrevendo os passos básicos a serem tomados com o objetivo de deixar o MySQL mais seguro contra ataques locais e remotos... http://www.securityfocus.com/infocus/1726 ----- End forwarded message -----