From mieko em ccuec.unicamp.br Tue Jul 1 09:06:24 2003 From: mieko em ccuec.unicamp.br (Silvana Mieko Misuta) Date: Tue, 1 Jul 2003 09:06:24 -0300 Subject: [SECURITY-L] [caio_sm@yahoo.com.br: McAfee alerta para as principais ameaXas de julho] Message-ID: <20030701120623.GC212@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: McAfee alerta para as principais ameaXas de julho To: security em unicamp.br Date: Mon, 30 Jun 2003 18:43:41 -0300 (ART) McAfee alerta para as principais ameaças de julho CSO Online A equipe de especialistas da empresa de antivírus McAfee Security, o AVERT (Anti Virus Emergency Response Team), destaca as principais ameaças que podem agir neste próximo mês: Bugbear, Fortnight, NoClose, Byteverify, CIH.remants, Opaserv. MIME e Klez. A companhia divulgou um breve descritivo sobre cada ameaça. Confira abaixo: W32/Bugbear.b em MM - Esse worm contém vários elementos de ataque: é mass-mailing, propaga-se por compartilhamento de rede, Cavalo de Tróia, keylogger (rouba informações digitadas), infector de arquivos, danificador de software de segurança. Ele se envia aos e-mails encontrados no computador, simulando o remetente. E o vírus ainda consegue criar assuntos aleatórios. A mensagem varia, os anexos também variam, mas as extensões desses arquivos podem ser .exe, .pif ou .scr. O vírus copia-se para a pasta "Iniciar" usando um nome aleatório. Ele tenta ainda se copiar para o diretório "Iniciar" de máquinas remotas ligadas em rede. O vírus ainda abre a porta TCP 1080 para comandos, o que permite a invasão remota do computador infectado. Tenta infectar ainda os seguintes arquivos executáveis: hh.exe; mplayer.exe;notepad.exe;regedit.exe; scandskw.exe; winhelp.exe; ACDSee32.exe; AcroRd32.exe (Acrobat Reader 4.0 e 5.0), aim.exe; cutftp32.exe; DAP.exe; Far.exe; Icq.exe; iexplore.exe; kazaa.exe; Ad-aware.exe; msnmsgr.exe; msimn.exe; QuickTimePlayer.exe; realplay.exe; Morpheus.exe; Trillian.exe; winamp.exe; mplayer2.exe; WinRAR.exe; winzip32.exe; WS_FTP95.exe; ZoneAlarm.exe. W32/Fortnight.c em M - O vírus chega em forma de código HTML em qualquer e-mail. Este código aponta para um website, de forma que, quando a mensagem é aberta, esse site passa a ser acessado. A página Web em questão contém códigos JavaScript que carrega um applet com a carga viral no computador. O Worm instala-se no computador da seguinte forma: O arquivo de assinatura HTML [s.htm], contendo o link para a página web, é escrito no diretório WINDOWS. Após essas mudanças, cada mensagem enviada através do Oulook Express do computador infectado vai conter a assinatura infectada. O Worm faz várias alterações de configuração do Internet Explorer de forma a levar o usuário a visitar o site infectado do autor do vírus, aparentemente com objetivos de propaganda. As táticas de programação usadas com este objetivo são frequentemente denominadas como "scumware". O vírus cria ainda atalhos na pasta "Favoritos" do Internet Explorer, que levam ao site do autor do vírus: 1.c:\WINDOWS\Favorites\Nude Nurses.url 2.c:\WINDOWS\Favorites\Search You Trust.url 3.c:\WINDOWS\Favorites\Your Favorite Porn Links.url. JS/NoClose - Este cavalo de Tróia escrito em linguagem Java permite que várias funções ocultas ocorram no sistema infectado. Ele ocorre de duas formas: No formato HTA , é criada uma aplicação HTML não visível ao usuário, e que não pode ser fechada. No formato HTML, é criada uma janela de browser que é minimizada, e não pode ser facilmente maximizada nem fechada. Tipicamente, essas "armadilhas" do Windows são associadas a anúncios ou banners, mais especificamente os banners de sites pornográficos e sites que pagam comissões a outros para abrirem banners nos computadores dos visitantes. Esse Vírus não contém nenhuma outra carga, e não causa maiores danos ao computador local. Exploit-Byteverify - Essa detecção cobre applets Java que tentam se valer da vulnerabilidade Microsoft Security Bulletin MS03-011, considerada crítica, pois permite que um hacker execute código malicioso simplesmente com a visita a um site infectado. Tais detecções não significam necessariamente que qualquer código malicioso foi executado. W32/CIH.remants - Trata-se de códigos virais corrompidos do antigo vírus CIH, também conhecido como Chernobyl. Esse vírus surgiu em 1998, no sudeste asiático. Atualmente existem 35 variantes desse vírus. As mais comuns são as variantes 1003 e 1019. Infecta arquivos Windows 95 em formato PE. Consiste de uma carga ativada por data.Os arquivos infectados pela família de vírus W95/CIH não são executados em ambiente windows NT, Windows 2000 ou XP porque sua estrutura não é válida. O vírus contém uma carga muito perigosa, cuja data de ativação depende da variante. Nessa data, eles tentam sobrescrever a flash-BIOS. Se ela estiver write-enabled (este é o caso na maioria dos computadores modernos com flash-BIOS) a máquina será inutilizada, porque ela não vai mais inicializar. Na mesma hora, o HD também é sobrescrito com lixo. As datas de ativação do vírus variam de acordo com a variante: CIH.1003 - 26 de abril; CIH.1010 - 26 de junho; CIH.1019 - no dia 26 de qualquer mês. W32/Opaserv.worm – Não se propaga em sistemas WindowsNT/2K/XP. O vírus tenta se enviar via compartilhamentos de rede copiando-se para o diretório WINDOWS das máquinas remotamente acessadas como SCRSVR.EXE, por meio de uma chave de execução no WIN.INI para que o worm seja carregado na inicialização do sistema. Quando executado na máquina da vítima, o worm copia-se como %WinDir%\ScrSvr.exe. Ele então tenta acessar uma URL remota, já indisponível. Há indícios de que o worm poderia baixar atualizações desse site. Exploit-MIME.gen - Explora a vulnerabilidade de cabeçalho MIME incorreto, que permite aos arquivos anexos executáveis serem automaticamente executados com a simples vizualização de uma mensagem. Inúmeros vírus se aproveitam desse bug, dentre eles W32/Badtrans em MM, W32/Nimda.gen em MM, e W32/Klez.gen em MM. Trata-se de uma detecção genérica, que abrange inúmeros vírus e cavalos de Tróia. Portanto, fica difícil especificar detalhes de infecção. Klez.h - O risco desse vírus é considerado médio pelo AVERT, e os usuários domésticos correm mais risco de infecção, por atualizarem as DATs dos antivírus com menos freqüências do que as empresas. Como todas as outras variantes do klez, ele se aproveita de uma falha do Intenet Explorer 5.01 ou 5.5 sem SP2. Chega por e-mail, e tem a habilidade de mudar o nome do remetente do e-mail. A seguir, invalida vários programas (principalmente antivírus) da memória do computador. Ele é capaz também de se espalhar via rede, copiando-se para compartilhamentos de rede, desde que isso seja permitido pelo administrador do ambiente. E, se as outras variantes usam-se de vários arquivos anexos e assuntos nos campos da mensagem infectada enviada, o klez.h tem ainda a habilidade de se disfarçar como uma ferramenta gratuita de imunidade em pelo menos uma das mensagens enviadas. E, com a capacidade de enviar em anexo um arquivo aleatório escolhido no HD infectado, o vírus pode acabar enviando informação confidencial a terceiros. Autor: Da redação Data: 30/06/2003 _______________________________________________________________________ Yahoo! Mail Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam. http://br.mail.yahoo.com/ ----- End forwarded message ----- From mieko em ccuec.unicamp.br Tue Jul 1 09:06:02 2003 From: mieko em ccuec.unicamp.br (Silvana Mieko Misuta) Date: Tue, 1 Jul 2003 09:06:02 -0300 Subject: [SECURITY-L] [caio_sm@yahoo.com.br: Falha permite 'rapto' de contas Passport] Message-ID: <20030701120602.GB212@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Falha permite 'rapto' de contas Passport To: security em unicamp.br Date: Mon, 30 Jun 2003 18:42:29 -0300 (ART) Falha permite 'rapto' de contas Passport Problema atinge apenas contas antigas do serviço de autenticação da Microsoft, criadas antes da implantação do recurso "questão secreta" para recuperar senha do usuário. Paul Roberts, IDG News Service 30/06/2003 13:51:08 Mais uma nova vulnerabilidade recém-descoberta pode permitir a invasores zerar a senha e raptar contas antigas .Net Passport, da Microsoft, segundo uma mensagem colocada em uma lista de discussões sobre falhas em software. O .Net Passport é o serviço de identificação online da Microsoft que permite aos clientes usar um único endereço de e-mail e senha para usar diversos serviços e ter acesso a alguns sites, incluindo o e-mail gratuito Hotmail, da Microsoft. A vulnerabilidade está no código usado para ajudar os usuários que esqueceram a senha para a conta. Um recurso de "questão secreta" é usado para validar a identidade de um usuário que precisa colocar uma nova senha em caso de esquecimento. Porém, quem tem uma conta no Passport criada antes de a Microsoft implementar essa "questão secreta" pode ter sua senha manipulada por invasores, segundo uma mensagem publicada por Victor Manuel Alvarez Castro, que se identificou como consultor de segurança. A Microsoft não fez comentários sobre o assunto, por enquanto. Quem tem contas criadas após a criação do recurso da "questão secreta" ter sido implementado não é atingido pela falha - e segundo Castro, já faz "alguns anos" que esse recurso entrou em uso. A falha no Passport precisa também da sorte do invasor: ele precisa saber o endereço eletrônico e o país de origem do dono da conta. Nos Estados Unidos, o caso fica ainda mais complicado, já que o interessado em invadir a conta de outra pessoa também precisa saber o estado onde mora e o código postal do 'raptado'. "Essas condições deixam difícil para alguém explorar a vulnerabilidade", diz Rafael Núñez, pesquisador da Scientech da Venezuela, conhecido online como "[RaFa]". Porém, como são cerca de 200 milhões de contas e o tempo que estão funcionando serviços como o Hotmail, pode haver um grande número de contas afetadas pela falha da questão secreta, afirmou Núñez. E o ataque seria útil para quem já conhece a vítima, ele diz. Uma vez no controle da conta Passport, o invasor poderia se passar pela vítima, usando o e-mail e outros serviços, como o comunicador MSN Messenger, e realizar atos de "engenharia social" para coletar outras informações. Essa é a segunda vulnerabilidade que afeta o .Net Passport em alguns meses. Em maio, um pesquisador de segurança no Paquistão relatou uma falha em uma função que permitia aos usuários do Passport que também esqueceram suas senhas mudá-la usando uma mensagem de e-mail enviada para um endereço associado à conta. A falha permitia ao invasor saber a senha atualizada por qualquer outro e-mail e não requeria muita coisa além de saber o e-mail da vítima. _______________________________________________________________________ Yahoo! Mail Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam. http://br.mail.yahoo.com/ ----- End forwarded message ----- From mieko em ccuec.unicamp.br Tue Jul 1 09:05:42 2003 From: mieko em ccuec.unicamp.br (Silvana Mieko Misuta) Date: Tue, 1 Jul 2003 09:05:42 -0300 Subject: [SECURITY-L] [caio_sm@yahoo.com.br: Software de seguranXa ZoneAlarm abre PCs para programa-espiXo] Message-ID: <20030701120542.GA212@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Software de seguranXa ZoneAlarm abre PCs para programa-espiXo To: security em unicamp.br Date: Mon, 30 Jun 2003 18:41:28 -0300 (ART) 30/06/2003 - 14h51 Software de segurança ZoneAlarm abre PCs para programa-espião da Folha Online Um dos membros do fórum on-line de segurança Bugtraq reportou uma vulnerabilidade no firewall pessoal ZoneAlarm. Segundo ele, o usuário que instalar a versão gratuita do software da ZoneLabs terá seu computador exposto na web. Pelo bug, um hacker pode instalar um programa-espião no sistema para roubar informações pessoais do usuário. Programas-espiões são softs capazes de monitorar tudo o que é realizado no PC em que ele está instalado. Ele acompanha o que é digitado pelo usuário --incluindo senhas pessoais-- e os sites pelos quais o usuário navega. Teoricamente, pela falha, o firewall (sistema de segurança que bloqueia acessos ilegais à internet) pode ser ultrapassado, permitindo a abertura de uma conexão insegura pela qual o pirata consegue roubar informações importantes, diz o especialista Dan Harkless em seu alerta. Para que o ataque seja bem-sucedido, porém, o hacker tem de primeiro instalar o programa malicioso no PC da vítima. Mas isso pode ser feito da mesma forma como ele costuma enviar arquivos infectados, induzindo o usuário a clicar e abrir tal programa. A ZoneLabs disse que o bug foi detectado somente na versão 3.1 do ZoneAlarm (a última versão do firewall é a 3.7) e que está desenvolvendo uma correção para ela. No entanto, Harkless diz que inicialmente todos estão sujeitos à mesma vulnerabilidade e, portanto, o melhor é não permitir o acesso padronizado de nenhum aplicativo à web. Ou seja, cada solicitação deve ser analisada separadamente, sugere. _______________________________________________________________________ Yahoo! Mail Mais espaço, mais segurança e gratuito: caixa postal de 6MB, antivírus, proteção contra spam. http://br.mail.yahoo.com/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 2 13:57:10 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 2 Jul 2003 13:57:10 -0300 Subject: [SECURITY-L] Basic Security Measures for FreeBSD Message-ID: <20030702165710.GB2295@ccuec.unicamp.br> ----- Forwarded message from Rafael R Obelheiro ----- From: Rafael R Obelheiro Subject: [S] Basic Security Measures for FreeBSD To: seguranca em pangeia.com.br Date: Sun, 29 Jun 2003 18:21:09 -0300 Caros, O artigo abaixo apresenta algumas medidas basicas de seguranca para serem adotadas logo apos a instalacao de um sistema FreeBSD, ilustrando como desabilitar servicos desnecessarios e trazendo tambem um exemplo simples de configuracao de firewall/NAT. Apesar de estar longe de ser completo, serve como uma razoavel introducao pratica (pessoalmente, discordo da recomendacao de ter uma conta exclusiva para FTP -- melhor evitar completamente protocolos que transmitam senhas em claro). http://www.net-security.org/article.php?id=511 Divirtam-se, --rro ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 2 13:58:26 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 2 Jul 2003 13:58:26 -0300 Subject: [SECURITY-L] NIST release of NIST Interagency Report (NISTIR) 7007 - An Overview of Issues in Testing Intrusion Detection Systems Message-ID: <20030702165825.GC2295@ccuec.unicamp.br> From: "Patrick O'Reilly" Reply-To: patrick.oreilly em nist.gov To: Multiple recipients of list Subject: NIST release of NIST Interagency Report (NISTIR) 7007 - An Overview of Issues in Testing Intrusion Detection Systems Date: Tue, 1 Jul 2003 16:05:37 -0400 (EDT) Message-Id: <5.1.0.14.2.20030701152629.02f04af0 em email.nist.gov> X-Mailer: QUALCOMM Windows Eudora Version 5.1 Announcing the release of NIST Computer Security Publication : NIST Inter-agency Report (NISTIR) 7007: An Overview of Issues in Testing Intrusion Detection Systems While intrusion detection systems are becoming ubiquitous defenses in today's networks, currently we have no comprehensive and scientifically rigorous methodology to test the effectiveness of these systems. This paper explores the types of performance measurements that are desired and that have been used in the past. We review many past evaluations that have been designed to assess these metrics. We also discuss the hurdles that have blocked successful measurements in this area and present suggestions for research directed toward improving our measurement capabilities. To view or download this document please visit the NISTIR page on the Computer Security Resource Center (CSRC) website: http://csrc.nist.gov/publications/nistir/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 3 09:26:27 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 3 Jul 2003 09:26:27 -0300 Subject: [SECURITY-L] [S] A Safer System for Home PC's Feels Like Jail to Some Critics Message-ID: <20030703122627.GA3884@ccuec.unicamp.br> ----- Forwarded message from Rafael R Obelheiro ----- From: Rafael R Obelheiro Subject: [S] A Safer System for Home PC's Feels Like Jail to Some Critics To: seguranca em pangeia.com.br Date: Wed, 2 Jul 2003 14:14:08 -0300 Organization: DAS-UFSC [http://www.nytimes.com/2003/06/30/technology/30SECU.html] June 30, 2003 A Safer System for Home PC's Feels Like Jail to Some Critics By JOHN MARKOFF SAN FRANCISCO, June 29 -- Your next personal computer may well come with its own digital chaperon. As PC makers prepare a new generation of desktop computers with built-in hardware controls to protect data and digital entertainment from illegal copying, the industry is also promising to keep information safe from tampering and help users avoid troublemakers in cyberspace. Silicon Valley -- led by Microsoft and Intel -- calls the concept "trusted computing." The companies, joined by I.B.M., Hewlett-Packard, Advanced Micro Devices and others, argue that the new systems are necessary to protect entertainment content as well as safeguard corporate data and personal privacy against identity theft. Without such built-in controls, they say, Hollywood and the music business will refuse to make their products available online. But by entwining PC software and data in an impenetrable layer of encryption, critics argue, the companies may be destroying the very openness that has been at the heart of computing in the three decades since the PC was introduced. There are simpler, less intrusive ways to prevent illicit file swapping over the Internet, they say, than girding software in so much armor that new types of programs from upstart companies may have trouble working with it. "This will kill innovation," said Ross Anderson, a computer security expert at Cambridge University, who is organizing opposition to the industry plans. "They're doing this to increase customer lock-in. It will mean that fewer software businesses succeed and those who do succeed will be large companies." Critics complain that the mainstream computer hardware and software designers, under pressure from Hollywood, are turning the PC into something that would resemble video game players, cable TV and cellphones, with manufacturers or service providers in control of which applications run on their systems. In the new encrypted computing world, even the most mundane word-processing document or e-mail message would be accompanied by a software security guard controlling who can view it, where it can be sent and even when it will be erased. Also, the secure PC is specifically intended to protect digital movies and music from online piracy. But while beneficial to the entertainment industry and corporate operations, the new systems will not necessarily be immune to computer viruses or unwanted spam e-mail messages, the two most severe irritants to PC users. "Microsoft's use of the term `trusted computing' is a great piece of doublespeak," said Dan Sokol, a computer engineer based in San Jose, Calif., who was one of the original members of the Homebrew Computing Club, the pioneering PC group. "What they're really saying is, `We don't trust you, the user of this computer.' " The advocates of trusted computing argue that the new technology is absolutely necessary to protect the privacy of users and to prevent the theft of valuable intellectual property, a reaction to the fact that making a perfect digital copy is almost as easy as clicking a mouse button. "It's like having a little safe inside your computer," said Bob Meinschein, an Intel security architect. "On the corporate side the value is much clearer," he added, "but over time the consumer value of this technology will become clear as well" as more people shop and do other business transactions online. Industry leaders also contend that none of this will stifle innovation. Instead, they say, it will help preserve and expand general-purpose computing in the Internet age. "We think this is a huge innovation story," said Mario Juarez, Microsoft's group product manager for the company's security business unit. "This is just an extension of the way the current version of Windows has provided innovation for players up and down the broad landscape of computing." The initiative is based on a new specification for personal computer hardware, first introduced in 2000 and backed by a group of companies called the Trusted Computing Group. It also revolves around a separate Microsoft plan, now called the Next Generation Secure Computing Base, that specifies a tamper-proof portion of the Windows operating system. The hardware system is contained in a set of separate electronics that are linked to the personal computer's microprocessor chip, known as the Trusted Platform Module, or T.P.M. The device includes secret digital keys -- large binary numbers -- that cannot easily be altered. The Trusted Computing Group is attempting to persuade other industries, like the mobile phone industry and the makers of personal digital assistants, to standardize on the technology as well. The plans reflect a shift by key elements of the personal computer industry, which in the past had resisted going along with the entertainment industry and what some said they feared would be draconian controls that would greatly curtail the power of digital consumer products. Industry executives now argue that by embedding the digital keys directly in the hardware of the PC, tampering will be much more difficult. But they acknowledge that no security system is perfect. The hardware standard is actually the second effort by Intel to build security directly into the circuitry of the PC. The first effort ended in a public relations disaster for Intel in 1999 when consumers and civil liberties groups revolted against the idea. The groups coined the slogan "Big Brother Inside," and charged that the technology could be used to violate user privacy. "We don't like to make the connection," said Mr. Meinschein. "But we did learn from it." He said the new T.P.M. design requires the computer owner to switch on the new technology voluntarily and that it contains elaborate safeguards for protecting individual identity. The first computers based on the hardware design have just begun to appear from I.B.M. and Hewlett-Packard for corporate customers. Consumer-oriented computer makers like Dell Computer and Gateway are being urged to go along but have not yet endorsed the new approach. How consumers will react to the new technology is a thorny question for PC makers because the new industry design stands in striking contrast to the approach being taken by Apple Computer. Apple has developed the popular iTunes digital music store relying exclusively on software to restrict the sharing of digital songs over the Internet. Apple's system, which has drawn the support of the recording industry, permits consumers to share songs freely among up to three Macintoshes and an iPod portable music player. Apple only has a tiny share of the personal computer market. But it continues to tweak the industry leaders with its innovations; last week, Apple's chief executive, Steven P. Jobs, demonstrated a feature of the company's newest version of its OS X operating system called FileVault, designed to protect a user's documents without the need for modifying computer hardware. Mr. Jobs argued that elaborate hardware-software schemes like the one being pursued by the Trusted Computing Group will not achieve their purpose. "It's a falsehood," he said. "You can prove to yourself that that hardware doesn't make it more secure." That is not Microsoft's view. The company has begun showing a test copy of a variation of its Windows operating system that was originally named Palladium. The name was changed last year after a trademark dispute. In an effort to retain the original open PC environment, the Microsoft plan offers the computer user two separate computing partitions in a future version of Windows. Beyond changing the appearance and control of Windows, the system will also require a new generation of computer hardware, not only replacing the computer logic board but also peripherals like mice, keyboards and video cards. Executives at Microsoft say they tentatively plan to include the technology in the next version of Windows -- code-named Longhorn -- now due in 2005. The company is dealing with both technical and marketing challenges presented by the new software security system. For example, Mr. Juarez, the Microsoft executive, said that if the company created a more secure side to its operating system software, customers might draw the conclusion that its current software is not as safe to use. Software developers and computer security experts, however, said they were not confident that Microsoft would retain its commitment to the open half of what is planned to be a two-sided operating system. "My hackles went up when I read Microsoft describing the trusted part of the operating system as an option," said Mitchell D. Kapor, the founder of Lotus Development Corporation, and a longtime Microsoft competitor. "I don't think that's a trustworthy statement." One possibility, Mr. Kapor argued, is that Microsoft could release versions of applications like its Office suite of programs that would only run on the secure part of the operating system, forcing users to do their work in the more restricted environment. Microsoft denies that it is hatching an elaborate scheme to deploy an ultra-secret hardware system simply to protect its software and Hollywood's digital content. The company also says the new system can help counter global cybercrime without creating the repressive "Big Brother" society imagined by George Orwell in "1984." Microsoft is committed to "working with the government and the entire industry to build a more secure computing infrastructure here and around the world," Bill Gates, Microsoft's chairman, told a technology conference in Washington on Wednesday. "This technology can make our country more secure and prevent the nightmare vision of George Orwell at the same time." The critics are worried, however, that the rush to create more secure PC's may have unintended consequences. Paradoxically, they say, the efforts to lock up data safely against piracy could serve to make it easier for pirates to operate covertly. Indeed, the effectiveness of the effort to protect intellectual property like music and movies has been challenged in two independent research papers. One was distributed last year by a group of Microsoft computer security researchers; a second paper was released last month by Harvard researchers. The research papers state that computer users who share files might use the new hardware-based security systems to create a "Darknet," a secure, but illegal network for sharing digital movies and music or other illicit information that could be exceptionally hard for security experts to crack. "This is a Pandora's box and I don't think there has been much thought about what can go wrong," said Stuart Schechter, a Harvard researcher who is an author of one of the papers. "This is one of those rare times we can prevent something that will do more harm than good." ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 3 10:32:14 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 3 Jul 2003 10:32:14 -0300 Subject: [SECURITY-L] Announcing 2nd Version of DRAFT Special Publication 800-37 Message-ID: <20030703133214.GA4072@ccuec.unicamp.br> ----- Forwarded message from Patrick O'Reilly ----- From: "Patrick O'Reilly" Reply-To: patrick.oreilly em nist.gov To: Multiple recipients of list Subject: Announcing 2nd Version of DRAFT Special Publication 800-37 Date: Mon, 30 Jun 2003 15:14:28 -0400 (EDT) Message-Id: <5.1.0.14.2.20030630141541.02e65798 em email.nist.gov> X-Mailer: QUALCOMM Windows Eudora Version 5.1 June 30, 2003 -- The second pubic draft of NIST Special Publication 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems, has been completed and is available for public comment. This document is one of a series of security standards and guidelines being developed by NIST's Computer Security Division in response to the Federal Information Security Management Act of 2002. For additional information, please visit the NIST Security Certification and Accreditation Project web site. URLs: 1. DRAFT Special Publication 800-37: http://csrc.nist.gov/publications/drafts.html 2. NIST Security Certification & Accreditation Project: http://csrc.nist.gov/sec-cert/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 3 10:54:21 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 3 Jul 2003 10:54:21 -0300 Subject: [SECURITY-L] *** IMPORTANTE *** CAIS-Alerta: Ataques programados para 06/07/2003 Message-ID: <20030703135421.GB4115@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Ataques programados para 06/07/2003 To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 3 Jul 2003 10:46:35 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Esta´ sendo divulgada na midia uma competicao entre hackers agendada para o proximo domingo, dia 06 de Julho de 2003. Denominada de "Defacers Challenge", trata-se de uma disputa entre hackers, sendo que ganha quem efetuar um determinado numero de ataques de trocas de pagina (web defacements). Este tipo de ataque se popularizou na comunidade hacker no inicio do ano 2000 e e' uma atividade ainda realizada em larga escala. Especificamente no campeonato do dia 06/07/2003, o grupo vencedor precisara' trocar 6.000 paginas para conquisar o titulo, o que leva a crer que os alvos preferenciais serao sistemas que abrigam multiplos dominios. Duas constatacoes contribuem para justificar um estado de alerta. Primeiro, o CAIS, atraves de seus sistemas de monitoramento, tem registrado um aumento nas atividades de reconhecimento em busca de servidores www vulneraveis. Segundo, houve uma diminuicao nos ataques de web defacements na ultima semana, podendo significar que potenciais alvos estejam sendo preservados para a competicao. Neste contexto, o CAIS recomenda aos administradores que verifiquem seus sistemas quanto as atualizacoes necessarias e eventuais problemas de configuracao que possam torna-los alvos em potencial de ataques deste tipo. Em tempo, solicitamos que notifiquem ataques bem sucedidos. Maiores informacoes podem ser obtidas em: . http://www.zone-h.org/en/news/read/id=2986/ . http://www.infoguerra.com.br/infoguerra.php?newsid=1057201323,52219,/ . http://www.defacers-challenge/ . http://www.estadao.com.br/tecnologia/internet/2003/jul/02/87.htm Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPwQzw+kli63F4U8VAQFnOwQAu/f3JSDcl2okINa9UZ0+6gHV4F7HKSh7 RWicXv3e0BLKkHTfR0Mh47QHXAVDuT2a/uuwSfkcBY/IlwMG0fC4/onaz+mtQT4K FMkM4fnb3yyhSO1KV0lx1myjiaNTwjplNhKb7cBUN5SNT8nyiy1UnpqJfBI/GjDh 6sWSCNjBMMk= =RBFy -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 3 15:39:38 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 3 Jul 2003 15:39:38 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030703183938.GA4537@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 27/06/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:071) Assunto: vulnerabilidade de seguranca no pacote xpdf. http://www.security.unicamp.br/docs/bugs/2003/06/v60.txt Mandrake Linux Security Update Advisory (MDKSA-2003:072) Assunto: vulnerabilidade de seguranca no pacote ypserv. http://www.security.unicamp.br/docs/bugs/2003/06/v61.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:663) Assunto: Problema com libgtkhtml no pacote screem/balsa. http://www.security.unicamp.br/docs/bugs/2003/06/v62.txt Debian Security Advisory (DSA 331-1) Assunto: vulnerabilidade de seguranca no pacote imagemagick. http://www.security.unicamp.br/docs/bugs/2003/06/v63.txt Debian Security Advisory (DSA 332-1) Assunto: vulnerabilidade de seguranca nos pacotes kernel-source-2.4.17, kernel-patch-2.4.17-mips. http://www.security.unicamp.br/docs/bugs/2003/06/v64.txt Debian Security Advisory (DSA 333-1) Assunto: vulnerabilidade de seguranca no pacote acm. http://www.security.unicamp.br/docs/bugs/2003/06/v65.txt 28/06/2003 ---------- Debian Security Advisory (DSA 334-1) Assunto: vulnerabilidade de seguranca no pacote xgalaga. http://www.security.unicamp.br/docs/bugs/2003/06/v66.txt Debian Security Advisory (DSA 335-1) Assunto: vulnerabilidade de seguranca no pacote mantis. http://www.security.unicamp.br/docs/bugs/2003/06/v67.txt 30/06/2003 ---------- Anúncio de Atualização do Conectiva Linux (CLA-2003:667) Assunto: anúncio de criação do pacote bittorrent. http://www.security.unicamp.br/docs/bugs/2003/06/v68.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:668) Assunto: vulnerabilidade de seguranca no pacote kde. http://www.security.unicamp.br/docs/bugs/2003/06/v69.txt Debian Security Advisory (DSA 336-2) Assunto: vulnerabilidade de seguranca nos pacotes kernel-source-2.2.20, kernel-image-2.2.20-i386. http://www.security.unicamp.br/docs/bugs/2003/06/v70.txt 01/07/2003 ---------- Anúncio de Atualização do Conectiva Linux (CLA-2003:669) Assunto: nova versao do pacote OpenOffice.org. http://www.security.unicamp.br/docs/bugs/2003/07/v1.txt 02/07/2003 ---------- Anúncio de Segurança do Conectiva Linux (CLA-2003:672) Assunto: vulnerabilidade local no pacote unzip. http://www.security.unicamp.br/docs/bugs/2003/07/v2.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-017-01) Assunto: vulnerabilidade de seguranca no pacote unzip. http://www.security.unicamp.br/docs/bugs/2003/07/v4.txt 03/07/2003 ---------- CAIS-Alerta Assunto: Ataques programados para 06/07/2003. http://www.security.unicamp.br/docs/bugs/2003/07/v3.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Jul 3 16:12:10 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 3 Jul 2003 16:12:10 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030703191210.GA4617@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 30/06/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 25 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b16.txt SecurityFocus Newsletter #203 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/06/b17.txt Módulo Security News no. 299 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/06/b18.txt 02/07/2003 ---------- SANS NewsBites Vol. 5 Num. 26 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b1.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 4 13:48:36 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 4 Jul 2003 13:48:36 -0300 Subject: [SECURITY-L] CAIS-Alerta: Propagacao de codigo malicioso e atualizacao de aplicativos antivirus (IN-2003-01) Message-ID: <20030704164835.GC5936@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Propagacao de codigo malicioso e atualizacao de aplicativos antivirus (IN-2003-01) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 4 Jul 2003 13:42:09 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o CERT Incident Note IN-2003-01, Malicious Code Propagation and Antivirus Software Updates, que apresenta algumas consideracoes sobre a propagacao de codigos maliciosos e tambem sobre o uso dos aplicativos antivirus. De acordo com o CERT/CC, constatou-se um aumento na velocidade de propagacao dos recentes virus e worms, ao mesmo tempo em que se nota que os usuarios contaminados em sua maioria, tem a incorreta nocao que o software antivirus e' suficiente para protege-los de quaisquer ataques de codigo malicioso. Com relacao aos antivirus, uma das consideracoes apresentadas no documento do CERT/CC ressalta que sempre havera' um intervalo de tempo entre o inicio da propagacao do codigo malicioso e a instalacao da respectiva vacina no antivirus do usuario. Embora a industria de antivirus esteja trabalhando para reduzir este intervalo, aumentando a confiabilidade das vacinas e do processo de atualizacao dos antivirus, ele ainda e' suficiente para viabilizar a rapida proliferacao dos codigos maliciosos. Para ilustrar a gravidade da propagacao de virus e worms recentemente na Internet, segue a lista de alertas publicados pelo CAIS em 2003 relacionados ao assunto: . Alerta do CAIS ALR-27062003a Propagação do vírus Sobig.E http://www.rnp.br/cais/alertas/2003/cais-alr-27062003a.html . Alerta do CAIS ALR-27062003 Atividade gerada pelo Stumbler (Trojan 55808) http://www.rnp.br/cais/alertas/2003/cais-alr-27062003.html . Alerta do CAIS ALR-06062003 Propagação do worm W32.BugBear.B http://www.rnp.br/cais/alertas/2003/cais-alr-06062003.html . AUSCERT AL-2003.07 Propagação do Worm Fizzer http://www.rnp.br/cais/alertas/2003/Auscert200307.html . Alertas do CAIS ALR-11032003 Nova versão do worm CodeRed http://www.rnp.br/cais/alertas/2003/CAIS-ALR-11032003.html . Alertas do CAIS ALR-10032003 Novo worm conhecido como "Deloder" http://www.rnp.br/cais/alertas/2003/CAIS-ALR-10032003.html . Cert Advisory CA-2003-04 MS-SQL Worm (Slammer) http://www.rnp.br/cais/alertas/2003/CA200304.html Maiores informacoes podem ser encontradas em: http://www.cert.org/incident_notes/IN-2003-01.html Motivado pelo referido Incident Note do CERT/CC e com base em seu trabalho preventivo, o CAIS relembra que as melhores praticas de uso do email incluem: . Nao abrir arquivos anexados a emails sem antes analisa´-los com um antivirus. . Certificar-se da autenticidade do endereco de origem do email . Nao fazer download, instalar ou executar arquivos obtidos de fontes nao confiaveis. . Manter os antivirus sempre atualizados, com frequencia diaria ou de forma automatica. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ CERT® Incident Note IN-2003-01 The CERT Coordination Center publishes incident notes to provide information about incidents to the Internet community. Malicious Code Propagation and Antivirus Software Updates Release Date: July 2, 2003 Recent reports to the CERT/CC have highlighted two chronic problems: * The speed at which viruses are spreading is increasing. This echoes the trend toward faster propagation rates seen in the past few years in self-propagating malicious code (i.e., worms). Beginning with the Code Red worm (CA-2001-19, CA-2001-23) in 2001 up through the Slammer worm (CA-2003-04) earlier this year, we have seen worm propagation times drop from hours to minutes. A similar trend from weeks to hours has emerged in the virus (i.e., non-self-propagating malicious code) arena. The effectiveness of antivirus software suffers as a result. Several recent malicious code incidents involving variants of W32/BugBear and W32/Sobig have achieved widespread propagation at rates significantly faster than many previous viruses. This increased speed is, unfortunately, also faster than many antivirus signatures can be identified and updated, regardless of the update method (including automated signature updates). The CERT/CC has received reports of successful W32/Sobig.E compromises from users whose signatures were up to date for the prior versions of W32/Sobig. Signature-based antivirus software is not the only type of antivirus software at risk: antivirus software that uses heuristics to determine malicious behavior may be circumvented by malicious code that employ new techniques. They should not be unconditionally trusted either, as they may not always block malicious code from executing. Additionally, we are aware of instances where corrupted antivirus software updates have caused the software to be disabled without the user's knowledge. * In a number of the reports, users who were compromised may have been under the incorrect impression that merely having antivirus software installed was enough to protect them from all malicious code attacks. This is simply a mistaken assumption, and users must always exercise caution when handling email attachments or other code or data from untrustworthy sources. In general, it is important to remember that while antivirus software vendors continue to improve the speed and reliability of their signature update mechanisms, there will always be some window of time when a system does not contain signatures to detect a particular worm or virus. Several recent research papers that have placed estimates on the magnitude of "worst-case scenario" malicious code propagation rates also illustrate the risk to systems during the window of time before signatures are available.[1][2] Solutions Apply "defense in-depth" As mentioned above, it is not sufficient to rely solely on antivirus software for complete protection. Therefore, we recommend users apply a strategy of "defense in-depth" (where several layers of security or access controls are used) when considering ways to protect their computers from attackers. Although it may not be practical for all users, another way of achieving defense in-depth is to use diverse software and operating systems when possible. Some additional ways of improving security beyond the use of antivirus software follow. In addition to following the steps outlined in this section, the CERT/CC encourages home users to review the "Home Network Security" and "Home Computer Security" documents. Run and maintain an antivirus product While an up-to-date antivirus software package cannot protect against all malicious code, for most users it remains the best first-line of defense against malicious code attacks. Most antivirus software vendors release frequently updated information, tools, or virus databases to help detect and recover from malicious code, including W32/Bugbear.B and W32/Sobig.E. Therefore, it is important that users keep their antivirus software up to date. The CERT/CC maintains a partial list of antivirus vendors. Many antivirus packages support automatic updates of virus definitions. The CERT/CC recommends using these automatic updates when available. Do not run programs of unknown origin Never download, install, or run a program unless you know it to be authored by a person or company that you trust. Email users should be wary of unexpected attachments, while users of Internet Relay Chat (IRC), Instant Messaging (IM), and file-sharing services should be particularly wary of following links or running software sent to them by other users, as these are commonly used methods among intruders attempting to build networks of distributed denial-of-service (DDoS) agents. Disable or secure file shares Best practice dictates a policy of least privilege. For example, if a Windows computer is not intended to be a server (i.e., share files or printers with others), "File and Printer Sharing for Microsoft Networks" should be disabled. For computers that export shares, ensure that user authentication is required and that each account has a well-chosen password. Furthermore, consider using a firewall to control which computer can access these shares. By default, Windows NT, 2000, and XP create certain hidden and administrative shares. See the HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers for further guidelines on managing these shares. Deploy a firewall The CERT/CC also recommends using a firewall product, such as a network appliance or a personal firewall software package. In some situations, these products may be able to alert users to the fact that their machine has been compromised. Furthermore, they have the ability to block intruders from accessing backdoors over the network. However, no firewall can detect or stop all attacks, so it is important to continue to follow safe computing practices. Recovering from a system compromise If you believe a system under your administrative control has been compromised, please follow the steps outlined in Steps for Recovering from a UNIX or NT System Compromise References 1. Paxson, V., Staniford, S., Weaver, N. "How to 0wn the Internet in Your Spare Time" http://www.icir.org/vern/papers/cdc-usenix-sec02/index.html 2. Moore, D., Paxson, V., Savage, S., Shannon, S., Staniford, S., Weaver, N. "The Spread of the Sapphire/Slammer Worm" http://www.cs.berkeley.edu/~nweaver/sapphire/ Authors: Chad Dougherty and Allen Householder This document is available from: http://www.cert.org/incident_notes/IN-2003-01.html CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. Conditions for use, disclaimers, and sponsorship information Copyright ©2003 Carnegie Mellon University. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPwWui+kli63F4U8VAQFKjQP9H9zgDDsqaiSZoCnfTsySpfo11R87nAuk nG2w2iEKp5OvYCfKloIH5IkcTY2/gkp6FdpJtEXA1mWicOPMMC/5AaYklTzB+Puq e51AhEkAOZWAgwkbXDbWXxDZQ5X3gfmafPDTcGR3gItnD+SGhSpCk5BHfenfV1R3 eZCcGVGZ9vs= =mp45 -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 8 10:50:25 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 8 Jul 2003 10:50:25 -0300 Subject: [SECURITY-L] Concurso de hackers fracassa no fim de semana Message-ID: <20030708135024.GB2224@ccuec.unicamp.br> Concurso de hackers fracassa no fim de semana http://idgnow.terra.com.br/idgnow/internet/2003/07/0022 Segunda-feira,7 de Julho de 2003 - 15h02 IDG Now! Um concurso de fim de semana para testar as habilidades de hackers maliciosos deu em nada, após um planejamento malfeito pelos organizadores e disputas entre grupos de hackers que tiraram do ar o site responsável por contar os pontos da competição. A meta proposta pelos organizadores era de que os hackers invadissem 6 mil sites. Pontos seriam dados aos invasores que conseguissem, com sucesso, comprometer o servidor web de uma organização e alterar suas páginas, segundo a Internet Security Systems (ISS). Com o nome de Defacers Challenge, o concurso internacional deveria ter começado neste domingo (06/07). Entretanto, o site designado para manter a pontuação dos competidores, o www.zone-h.org, foi sobrecarregado com tráfego na manhã de domingo, de acordo com um comunicado do Zone-h. O portal de segurança, mantido na Estônia, é um dos mais conhecidos por rastrear desfigurações de sites e não tinha conexão com o Defacers Challenge - e os mantenedores do site estavam apavorados com a idéia de que tinham sido escolhidos para manter o "placar" da bizarra competição, informou Roberto Preatoni (também conhecido como "SyS64738"), fundador do Zone-h. "Dizer que o Zone-h era uma referência foi a coisa mais estúpida que alguem poderia pensar", afirmou. Quando ocorrem desfiguramentos de sites, um dos 50 operadores do Zone-h confirma a mudança pessoalmente. Caso o concurso produzisse o volume de desfiguramentos prometidos, o Zone-h não conseguiria checar uma enxurrada de 20 mil ou 30 mil mudanças em sites produzidas nas seis horas previstas pelos organizadores do concurso, informou Preatoni. Além disso, o Zone-h foi vítima de um ataque do tipo denial of service distribuído (DDOS), que durou das 10h (horário local) até as 17h. O ataque derrubou o site do Zone-h com 900 Mbits por segundo de informações e veio de um grupo de hackers brasileiros "infelizes com o concurso", disse o fundador do site. "Eles me disseram que o desfiguramento de sites é uma 'arte' e que mudanças bobas deveriam ser boicotadas." Segundo Preatoni, o ato de tirar o Zone-h do ar seria o único meio de frustrar o concurso para esses hackers. A estratégia funcionou, já que sites enviados para o Zone-h não foram recebidos pelos operadores e não puderam ser verificados. Apesar da confusão e hostilidade, o Zone-h recebeu aproximadamente 500 registros de desfigurações. Mais "400 ou 500" foram recebidos na manhã de hoje, mas não foram verificados, informou Preatoni. E como foi previsto por Preatoni e outros especialistas, a lista de sites comprometidos incluia poucos nomes familiares e muitos sites pequenos espalhados pelo mundo, como o www.thebuffrestaurant.com (que aparentemente já voltou ao ar) ou o www.ddwautomotive.com - empresas localizadas em pequenas cidades dos EUA. O nível de ataques de desfiguramento no final de semana relatados pela Zone-h bate com o registrado pela rede DeepSight, da Symantec, de acordo com Al Huger, diretor sênior de engenharia da companhia de segurança. Esse nível estava alinhado com a atividade comum de desfiguramentos e não justificou o alarme feito pelos "organizadores" do concurso. "Nesse caso, não havia fogo onde estava a fumaça", afirmou. Para Huger, alarmes falsos de companhias de segurança sobre eventos como o Defacers Challenge poderia causar dúvidas nas corporações em relação a eventos futuros, criando a possibilidade de haver problemas maiores quando uma crise de verdade acontecer. [ Paul Roberts - IDG News Service (EUA), com tradução de PC World ] From daniela em ccuec.unicamp.br Fri Jul 11 08:57:54 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 11 Jul 2003 08:57:54 -0300 Subject: [SECURITY-L] Windows tem tres novos bugs; critico, um deles abre PC a hackers Message-ID: <20030711115754.GC1262@ccuec.unicamp.br> ----- Forwarded message from Rafael R Obelheiro ----- From: Rafael R Obelheiro Subject: [S] Windows tem três novos bugs; crítico, um deles abre PC a hackers To: seguranca em pangeia.com.br Date: Thu, 10 Jul 2003 15:53:39 -0300 [ A pagina original possui links para os boletins de seguranca da Microsoft. --rro ] [http://www1.folha.uol.com.br/folha/informatica/ult124u13375.shtml] 09/07/2003 - 16h58 Windows tem três novos bugs; crítico, um deles abre PC a hackers da Folha Online O Windows tem três novas falhas de segurança. Um dos bugs, classificado como "crítico" pela própria Microsoft, abre o computador para hackers, permitindo que eles assumam o controle sobre a máquina da vítima. A mais séria das vulnerabilidades envolve o que os especialistas conhecem como "buffer overrun". Um buffer é uma área do computador usada para o armazenamento temporário de dados, e o "buffer overrun" é um ataque pelo qual o invasor explora um buffer vulnerável e reescreve o código do programa com seus próprios dados. Se o código for reescrito com um novo executável, ele modifica a forma de operação do programa, fazendo com que ele seja executado à sua maneira. Normalmente leva à paralisação do software. Essa vulnerabilidade, localizada no conversor HTML (HyperText Markup Language) do Windows, pode ser usada pelos hackers para disseminar o código tanto por e-mail como criando uma página de internet especial contendo um código malicioso para download. Como a brecha de segurança pode ser explorada sem qualquer ação do usuário, a Microsoft a descreveu como crítica. Essa é a classificação mais alta na escala de quatro níveis da gigante do software. O bug afeta diversas versões recentes do sistema operacional, incluindo o Windows XP, Windows 2000, Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0 Server e Windows Server 2003. Porém, no Windows Server 2003, a falha é classificada como moderada porque esse software traz um recurso chamado Enhanced Security Configuration, desenvolvido para reduzir o risco de execução de códigos por usuários desconhecidos. A Microsoft disponibilizou em seu site uma correção para essa vulnerabilidade. Os outros boletins de segurança da Microsoft tratam de falhas classificadas como "importantes". A primeira delas envolve um buffer overrun no Windows NT, Windows 2000 Server e Windows XP. A vulnerabilidade está relacionada ao protocolo SMB (Server Message Block) usado pelo sistema operacional para o compartilhamento de arquivos e impressoras entre os computadores, e também já pode ser corrigida. O último bug --cuja correção está on-line no site da Microsoft-- afeta o gerenciador de aplicativos do Windows 2000 e pode permitir que um usuário da rede eleve seus privilégios para uso do sistema. Esses foram os 23º, 24º e 25º boletins de segurança da Microsoft neste ano. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 11 13:42:01 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 11 Jul 2003 13:42:01 -0300 Subject: [SECURITY-L] Apache 2.0.47 released Message-ID: <20030711164200.GA3060@ccuec.unicamp.br> ----- Forwarded message from Apache HTTP Server Project ----- From: "Apache HTTP Server Project" Subject: [ANNOUNCE][SECURITY] Apache 2.0.47 released To: Date: Wed, 9 Jul 2003 14:01:31 +0200 X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Apache 2.0.47 Released The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the tenth public release of the Apache 2.0 HTTP Server. This Announcement notes the significant changes in 2.0.47 as compared to 2.0.46. This version of Apache is principally a security and bug fix release. A summary of the bug fixes is given at the end of this document. Of particular note is that 2.0.47 addresses four security vulnerabilities: Certain sequences of per-directory renegotiations and the SSLCipherSuite directive being used to upgrade from a weak ciphersuite to a strong one could result in the weak ciphersuite being used in place of the strong one. [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0192] Certain errors returned by accept() on rarely accessed ports could cause temporal denial of service, due to a bug in the prefork MPM. [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0253] Denial of service was caused when target host is IPv6 but ftp proxy server can't create IPv6 socket. [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0254] The server would crash when going into an infinite loop due to too many subsequent internal redirects and nested subrequests. [VU#379828] The Apache Software Foundation would like to thank Saheed Akhtar and Yoshioka Tsuneo for the responsible reporting of two of these issues. This release is compatible with modules compiled for 2.0.42 and later versions. We consider this release to be the best version of Apache available and encourage users of all prior versions to upgrade. Apache 2.0.47 is available for download from http://httpd.apache.org/download.cgi Please see the CHANGES_2.0 file, linked from the above page, for a full list of changes. Apache 2.0 offers numerous enhancements, improvements, and performance boosts over the 1.3 codebase. For an overview of new features introduced after 1.3 please see http://httpd.apache.org/docs-2.0/new_features_2_0.html When upgrading or installing this version of Apache, please keep in mind the following: If you intend to use Apache with one of the threaded MPMs, you must ensure that the modules (and the libraries they depend on) that you will be using are thread-safe. Please contact the vendors of these modules to obtain this information. Apache 2.0.47 Major changes Security vulnerabilities closed since Apache 2.0.46 *) SECURITY [CAN-2003-0192]: Fixed a bug whereby certain sequences of per-directory renegotiations and the SSLCipherSuite directive being used to upgrade from a weak ciphersuite to a strong one could result in the weak ciphersuite being used in place of the strong one. [Ben Laurie] *) SECURITY [CAN-2003-0253]: Fixed a bug in prefork MPM causing temporary denial of service when accept() on a rarely accessed port returns certain errors. Reported by Saheed Akhtar . [Jeff Trawick] *) SECURITY [CAN-2003-0254]: Fixed a bug in ftp proxy causing denial of service when target host is IPv6 but proxy server can't create IPv6 socket. Fixed by the reporter. [Yoshioka Tsuneo ] *) SECURITY [VU#379828] Prevent the server from crashing when entering infinite loops. The new LimitInternalRecursion directive configures limits of subsequent internal redirects and nested subrequests, after which the request will be aborted. PR 19753 (and probably others). [William Rowe, Jeff Trawick, André Malo] Bugs fixed and features added since Apache 2.0.46 *) core_output_filter: don't split the brigade after a FLUSH bucket if it's the last bucket. This prevents creating unneccessary empty brigades which may not be destroyed until the end of a keepalive connection. [Juan Rivera ] *) Add support for "streamy" PROPFIND responses. [Ben Collins-Sussman ] *) mod_cgid: Eliminate a double-close of a socket. This resolves various operational problems in a threaded MPM, since on the second attempt to close the socket, the same descriptor was often already in use by another thread for another purpose. [Jeff Trawick] *) mod_negotiation: Introduce "prefer-language" environment variable, which allows to influence the negotiation process on request basis to prefer a certain language. [André Malo] *) Make mod_expires' ExpiresByType work properly, including for dynamically-generated documents. [Ken Coar, Bill Stoddard] -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE/C2DDZjW2wN6IXdMRAm9BAKCBj7KgdN8sLTZpUFu5aVJTjyEJlQCePz3Y QF51aRaqbVdSwZYxalnSC+Y= =2mza -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 11 14:05:56 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 11 Jul 2003 14:05:56 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030711170555.GA3210@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 07/07/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 26 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b2.txt SecurityFocus Newsletter #204 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/07/b3.txt Módulo Security News no. 300 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/07/b4.txt 09/07/2003 ---------- SANS NewsBites Vol. 5 Num. 27 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b5.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 11 16:43:36 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 11 Jul 2003 16:43:36 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030711194336.GA3467@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 03/07/2003 ---------- Anúncio de Atualização do Conectiva Linux (CLA-2003:673) Assunto: Nova versão do pacote OpenOffice.org: REEDIÇÃO http://www.security.unicamp.br/docs/bugs/2003/07/v5.txt 04/07/2003 ---------- Anúncio de Segurança do Conectiva Linux (CLA-2003:674) Assunto: Execução de comandos embutidos em URLs no pacote xpdf. http://www.security.unicamp.br/docs/bugs/2003/07/v6.txt CAIS-Alerta Assunto: Propagacao de codigo malicioso e atualizacao de aplicativos antivirus (IN-2003-01). http://www.security.unicamp.br/docs/bugs/2003/07/v7.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:675) Assunto: Criação insegura de arquivos temporários no pacote ml85p. http://www.security.unicamp.br/docs/bugs/2003/07/v8.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:676) Assunto: Correção para módulo de configuração do postfix. http://www.security.unicamp.br/docs/bugs/2003/07/v9.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:677) Assunto: Correção de dependências para impressoras HP (pacote: foomatic-db-hpijs. http://www.security.unicamp.br/docs/bugs/2003/07/v10.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:685) Assunto: Negação de serviço e diversas outras correções no pacote openldap. http://www.security.unicamp.br/docs/bugs/2003/07/v11.txt 06/07/2003 ---------- Debian Security Advisory (DSA 337-2) Assunto: vulnerabilidade de seguranca nos pacotes semi, wemi. http://www.security.unicamp.br/docs/bugs/2003/07/v12.txt Debian Security Advisory (DSA 338-2) Assunto: vulnerabilidade de seguranca no pacote x-face-el. http://www.security.unicamp.br/docs/bugs/2003/07/v13.txt Debian Security Advisory (DSA 339-2) Assunto: vulnerabilidade de seguranca nos pacotes semi, wemi. http://www.security.unicamp.br/docs/bugs/2003/07/v14.txt 07/07/2003 ---------- OpenPKG Security Advisory (OpenPKG-SA-2003.032) Assunto: vulnerabilidade de seguranca nos pacotes php, apache. http://www.security.unicamp.br/docs/bugs/2003/07/v15.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:686) Assunto: Dificuldates no sistema de quotas. http://www.security.unicamp.br/docs/bugs/2003/07/v16.txt Debian Security Advisory (DSA 341-1) Assunto: vulnerabilidade de seguranca no pacote liece. http://www.security.unicamp.br/docs/bugs/2003/07/v17.txt Debian Security Advisory (DSA 342-1) Assunto: vulnerabilidade de seguranca no pacote mozart. http://www.security.unicamp.br/docs/bugs/2003/07/v18.txt Mandrake Linux Security Update Advisory (MDKSA-2003:073) Assunto: vulnerabilidade de seguranca no pacote unzip. http://www.security.unicamp.br/docs/bugs/2003/07/v19.txt 08/07/2003 ---------- Anúncio de Segurança do Conectiva Linux (CLA-2003:690) Assunto: Vulnerabilidade de inserção de código SQL no pacote imp. http://www.security.unicamp.br/docs/bugs/2003/07/v20.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:691) Assunto: Nova versão do PHP4 com correções e melhorias http://www.security.unicamp.br/docs/bugs/2003/07/v21.txt Debian Security Advisory (DSA 343-1) Assunto: vulnerabilidade de seguranca nos pacotes skk, ddskk. http://www.security.unicamp.br/docs/bugs/2003/07/v22.txt Debian Security Advisory (DSA 344-1) Assunto: vulnerabilidade de seguranca no pacote unzip. http://www.security.unicamp.br/docs/bugs/2003/07/v23.txt Debian Security Advisory (DSA 345-1) Assunto: vulnerabilidade de seguranca no pacote xbl. http://www.security.unicamp.br/docs/bugs/2003/07/v24.txt Debian Security Advisory (DSA 346-1) Assunto: vulnerabilidade de seguranca no pacote phpsysinfo. http://www.security.unicamp.br/docs/bugs/2003/07/v25.txt Debian Security Advisory (DSA 347-1) Assunto: vulnerabilidade de seguranca no pacote teapop. http://www.security.unicamp.br/docs/bugs/2003/07/v26.txt 09/07/2003 ---------- Cisco Security Advisory Assunto: Denial-of-Service of TCP-based Services in CatOS. http://www.security.unicamp.br/docs/bugs/2003/07/v27.txt Microsoft Security Bulletin (MS03-023) Assunto: Buffer Overrun In HTML Converter Could Allow Code Execution (823559). http://www.security.unicamp.br/docs/bugs/2003/07/v28.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:692) Assunto: Correção para problema de falha de segmentação no pacote nagios. http://www.security.unicamp.br/docs/bugs/2003/07/v29.txt 10/07/2003 ---------- OpenPKG Security Advisory (OpenPKG-SA-2003.033) Assunto: vulnerabilidade de seguranca no pacote infozip. http://www.security.unicamp.br/docs/bugs/2003/07/v30.txt OpenPKG Security Advisory (OpenPKG-SA-2003.034) Assunto: vulnerabilidade de seguranca no pacote imagemagick. http://www.security.unicamp.br/docs/bugs/2003/07/v31.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:693) Assunto: Vulnerabilidade local no módulo pam_xauth. http://www.security.unicamp.br/docs/bugs/2003/07/v32.txt 11/07/2003 ---------- CAIS-Alerta Assunto: Vulnerabilidade no conversor de HTML do Windows (823559). http://www.security.unicamp.br/docs/bugs/2003/07/v32.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Jul 15 09:45:58 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 15 Jul 2003 09:45:58 -0300 Subject: [SECURITY-L] CAIS-Alerta: CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library Message-ID: <20030715124558.GA2562@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Mon, 14 Jul 2003 18:08:28 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta divulgado pelo CERT/CC, CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library, tratando de uma vulnerabilidade identificada no suporte a conversão de HTML presente no Microsoft Windows, capaz de permitir a execução de código malicioso com os privilégios do usuário que estiver acessando o sistema. A Microsoft tratou deste assunto no alerta MS03-023, divulgado pelo CAIS no ultimo dia 09 de Julho e disponivel em: http://www.rnp.br/cais/alertas/2003/MS03-023.html Maiores informacoes: http://www.cert.org/advisories/CA-2003-14.html http://www.microsoft.com/technet/security/bulletin/ms03-023.asp O CAIS reitera a recomendacao aos administradores de plataformas Microsoft para que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library Original issue date: July 14, 2003 Last revised: -- Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Windows 98 and 98 Second Edition (SE) * Windows NT 4.0 and 4.0 Terminal Server Edition (TSE) * Windows Millennium Edition (Me) * Windows 2000 * Windows XP * Windows Server 2003 Overview A buffer overflow vulnerability exists in a shared HTML conversion library included in Microsoft Windows. An attacker could exploit this vulnerability to execute arbitrary code or cause a denial of service. I. Description Microsoft Windows includes a shared HTML conversion library (html32.cnv). According to Microsoft Security Bulletin MS03-023, "The HTML converter is an extension which allows applications to convert HTML data into Rich Text Format (RTF) while maintaining the formatting and structure of the data as well as the text. The converter also supports the conversion of RTF data into HTML." The HTML conversion library contains a buffer overflow vulnerability that can be triggered by a specially crafted align attribute in an
element. The library can be loaded by any application on the system. For example, Internet Explorer (IE) uses the library to handle HTML data stored in the clipboard. Using script, an attacker can cause IE to copy a crafted
element into the clipboard and load the library. The attacker could accomplish this by convincing a victim to view an HTML web page or HTML email message with IE, Outlook, or Outlook Express in a zone where Active scripting and Allow paste operations via script are enabled. This vulnerability is not limited to IE, Outlook, or Outlook Express. Any program, including non-Microsoft applications, can use the vulnerable library and may present other vectors of attack. Further information is available in VU#823260. Common Vulnerabilities and Exposures (CVE) refers to this issue as CAN-2003-0469. II. Impact An attacker could execute arbitrary code with the privileges of the process that loaded the HTML conversion library. The attacker could also crash the process, causing a denial of service. III. Solution Apply a patch Apply the appropriate patch as specified by Microsoft Security Bulletin MS03-023. Modify Internet Explorer security zone configuration Modify one or both of the following IE security zone settings in the Internet zone and the zone(s) used by Outlook, Outlook Express, and any other application that uses Internet Explorer or the WebBrowser ActiveX control to render HTML: * Set Allow paste operations via script to Disable * Set Active scripting to Disable Either of these changes will prevent attacks that depend on scripting in the IE HTML rendering engine. However, these changes are not complete solutions, and they do not prevent attacks that use other vectors. Note that disabling Active scripting provides defense against other attacks that are outside the scope of this document. Instructions for modifying IE 5 security zone settings can be found in the CERT/CC Malicious Web Scripts FAQ. In IE 6, the High security zone setting includes both of these changes. Appendix A. Vendor Information This appendix contains information provided by vendors. When vendors report new information, this section is updated and the changes are noted in the revision history. If a vendor is not listed below, we have not received their comments. Microsoft Please see Microsoft Security Bulletin MS03-023. Appendix B. References * CERT/CC Vulnerability Note VU#823260 - * Microsoft Security Bulletin MS03-023 - _________________________________________________________________ This vulnerability was publicly reported by Digital Scream. _________________________________________________________________ Feedback can be directed to the author, Art Manion. ______________________________________________________________________ This document is available from: ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. _________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History July 14, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPxMb2Okli63F4U8VAQEepgP+M5KXRfPALptvb3pi2/HaRK5goqNuAk5r Fxr3lxcEqW88waX+HxNV4/7fOt0z3n9we81WOz+KkgaU5oJe2754k/gVIjeO1oRe TdLhII+cnF3BukZ7IgMejDB9QSz+JjlPBVr+7iNaqxK0eT+8IHIFnYkB41GIlA/z h5xm5qovC0w= =UbTy -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 15 09:50:39 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 15 Jul 2003 09:50:39 -0300 Subject: [SECURITY-L] Port Scan Attack Detector 1.2.1 Message-ID: <20030715125039.GB2562@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Port Scan Attack Detector 1.2.1 To: security em unicamp.br Date: Mon, 14 Jul 2003 18:30:58 -0300 (ART) Artigos: Port Scan Attack Detector 1.2.1 Contributed by zcaldas on Segunda, julho 14 @ 15:36:55 EDT http://www.linuxit.com.br/modules.php?name=News&file=article&sid=1695&mode=&order=0&thold=0 Port Scan Attack Detector (psad) é um programa desenvolvido em PERL e designado para ser utilizado com o IPTABLES (do Linux 2.4.x) e IPCHAINS (do Linux 2.2.x) na detecção de port scans... Possui diversas opções de configuração, mensagens de alerta extremamente completas incluindo o destino, origem, range de portas, início e fim (tempo) do port scan, flags TCP, opções nmap utilizadas (apenas para Linux 2.4.x), bloqueio automático de enderecos IP através de configurações dinâmicas de regras ipchains/iptables e muito mais... Site: http://www.cipherdyne.com/psad/ Download: http://www.cipherdyne.com/psad/download/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 17 09:47:29 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 17 Jul 2003 09:47:29 -0300 Subject: [SECURITY-L] ISS Alert: Cisco IOS Remote Denial of Service Vulnerability Message-ID: <20030717124729.GD5798@ccuec.unicamp.br> ----- Forwarded message from Klaus Steding-Jessen ----- From: Klaus Steding-Jessen Subject: [GTS-L] ISS Alert: Cisco IOS Remote Denial of Service Vulnerability To: gts-l em listas.unesp.br Date: Thu, 17 Jul 2003 07:56:42 -0300 [http://xforce.iss.net/xforce/alerts/id/148] Internet Security Systems Security Alert July 17, 2003 Cisco IOS Remote Denial of Service Vulnerability Synopsis: A serious flaw exists in the Cisco IOS (Internetwork Operating System) that powers most currently deployed Cisco devices. Cisco Systems has released a security advisory documenting the vulnerability. All IPv4 Cisco devices running Cisco IOS are vulnerable to remote Denial of Service (DoS) attack. Impact: Cisco is the market leading router and infrastructure supplier of IP- based networking technology. The vulnerability may allow remote attackers to target and shutdown network interfaces on vulnerable devices by sending a special sequence of IPv4 packets. This type of attack can be launched at a specific target, or launched indiscriminately to cause widespread outages. It is unlikely to be blocked by legacy firewall devices. Affected Versions: Cisco IOS 11.x Cisco IOS 12.x Note: The vulnerable platforms represent the vast majority of currently deployed Cisco devices. Please refer to the Cisco Systems Security Advisory for the most current vulnerability matrix. IOS versions 12.3 and above are not vulnerable. Cisco devices that operate only in IPv6 environments are also not vulnerable. Description: Cisco Systems has released a security advisory detailing a significant denial of service vulnerability that affects its entire line of IPv4 devices. The vulnerability is caused by flawed packet processing routines that do not correctly process an abnormal and specific sequence of IPv4 traffic. If such a sequence is encountered, IOS incorrectly flags the input queue on the network interface as full. After a specific time-out period, the affected device will stop processing routing and ARP protocols. This effectively stops the interface from processing any traffic. The attack can be repeated against a targeted device to disable all network interfaces. While a targeted device does not hang or crash, it can be forced to stop routing all traffic on all interfaces and cause networks on both sides of the device to disappear. Devices that enter this state can not be reset without user intervention and a cold restart. Recommendations: ISS X-Force recommends that Cisco customers review the Cisco security advisory and take immediate action. Cisco has released patches for vulnerable platforms and has also provided workaround information. Please review the Cisco security advisory at the following location: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml ______ About Internet Security Systems (ISS) Founded in 1994, Internet Security Systems (ISS) (Nasdaq: ISSX) is a pioneer and world leader in software and services that protect critical online resources from an ever-changing spectrum of threats and misuse. Internet Security Systems is headquartered in Atlanta, GA, with additional operations throughout the Americas, Asia, Australia, Europe and the Middle East. Copyright (c) 2003 Internet Security Systems, Inc. All rights reserved worldwide. This document is not to be edited or altered in any way without the express written consent of Internet Security Systems, Inc. If you wish to reprint the whole or any part of this document, please email xforce em iss.net for permission. You may provide links to this document from your web site, and you may make copies of this document in accordance with the fair use doctrine of the U.S. copyright laws. Disclaimer: The information within this paper may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are NO warranties, implied or otherwise, with regard to this information or its use. Any use of this information is at the user's risk. In no event shall the author/distributor (Internet Security Systems X-Force) be held liable for any damages whatsoever arising out of or in connection with the use or spread of this information. X-Force PGP Key available on MIT's PGP key server and PGP.com's key server, as well as at http://www.iss.net/security_center/sensitive.php Please send suggestions, updates, and comments to: X-Force xforce em iss.net of Internet Security Systems, Inc. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 17 09:52:16 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 17 Jul 2003 09:52:16 -0300 Subject: [SECURITY-L] Raspadinha virtual Americanas.com X golpe Message-ID: <20030717125215.GE5798@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Raspadinha virtual Americanas.com X golpe To: security em unicamp.br Date: Wed, 16 Jul 2003 18:31:46 -0300 (ART) Raspadinha virtual Americanas.com é golpe 16/7/2003 - 16:52 Giordani Rodrigues http://www.infoguerra.com.br/ Se você receber um e-mail supostamente enviado pela loja de comércio eletrônico Americanas.com, convidando-o a participar de uma "raspadinha" (ou "raspinha") virtual, cuidado: trata-se, provavelmente, de mais uma tentativa de golpe pela Internet. Se a mensagem trouxer erros crassos de português, como a palavra "sortiado" ou a expressão "cujo aonde", não tenha dúvida, você está sendo alvo de golpistas semi-analfabetos. A tal raspadinha virtual, cujo prêmio seria um automóvel Ford Focus, funcionaria por meio de um programa que o usuário deveria baixar e rodar em seu computador. Claro que este programa esconde um arquivo maléfico, projetado para roubar senhas ― principalmente as bancárias ― e outras informações sigilosas dos internautas. No momento em que esta matéria estava sendo publicada, a mensagem fraudulenta ainda estava no ar, hospedada em servidores do hpG Plus, braço do provedor hpG que oferece serviços pagos. Veja, abaixo, uma cópia da mensagem, encontrada no endereço www.suporte2003.hpgplus.com.br/gif1.JPG: O arquivo maléfico, de nome Focus.exe, também estava disponível para download, no endereço www.suporte2003.hpgplus.com.br/Focus.exe. InfoGuerra submeteu o arquivo ao serviço de verificação WebImmune(https://www.webimmune.net/default.asp), da McAfee, que detectou a presença do aplicativo Perfect Keylogger(http://vil.nai.com/vil/content/v_100257.htm). Trata-se de um programa comercial, criado para espionar internautas e que, segundo o fabricante, serviria para pais, cônjuges ou empregadores desconfiados, que queiram disfarçadamente registrar a atividade online de seus filhos, parceiros ou empregados. Este aplicativo tem a capacidade de gravar tudo que o usuário digita, os sites que visita, as imagens das telas que visualiza e outras informações, e enviar os dados a terceiros, por e-mail ou por um servidor FTP (protocolo para transferência de arquivos). O programa foi adaptado por crackers e ultimamente tem sido usado em larga escala para roubar informações de internautas desavisados. Os golpes visam principalmente as senhas de Internet Banking. O site da Americanas.com não traz qualquer informação sobre promoção envolvendo raspadinha virtual. Caso você receba uma mensagem como a descita acima, apague, e de forma alguma instale o arquivo sugerido. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 17 09:52:54 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 17 Jul 2003 09:52:54 -0300 Subject: [SECURITY-L] Flaw in Microsoft Windows RPC Implementation Message-ID: <20030717125253.GF5798@ccuec.unicamp.br> ----- Forwarded message from Klaus Steding-Jessen ----- From: Klaus Steding-Jessen Subject: [S] Flaw in Microsoft Windows RPC Implementation To: seguranca em pangeia.com.br Date: Wed, 16 Jul 2003 18:21:16 -0300 [http://xforce.iss.net/xforce/alerts/id/147] Internet Security Systems Security Alert July 16, 2003 Flaw in Microsoft Windows RPC Implementation Synopsis: Microsoft has published a security bulletin describing a buffer overflow vulnerability in the Windows RPC (Remote Procedure Call) interface. The RPC protocol is integral to the normal operation of many networking technologies within the Windows operating system. The buffer overflow affects the DCOM (Distributed Component Object Model) interface on port TCP/135. Impact: Attackers may exploit this vulnerability by sending a specially-crafted RPC packet to port TCP/135 on a vulnerable target. Successful exploitation of this vulnerability will result in complete control of the target system. Many security-conscious administrators know to block this service at the perimeter, but open networks and personal computers used by individuals may be vulnerable to attack. Affected Versions: Microsoft Windows NT 4.0 Microsoft Windows NT 4.0 Terminal Services Edition Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 Note: All major releases and Service Pack levels of the platforms above are vulnerable. Description: The vulnerability occurs in the RPC interface to DCOM. The RPC protocol is used by the Windows operating systems and its applications to communicate over the network. The DCOM interface to RPC is accessible via port TCP/135. RPC was originally developed by the OSF (Open Software Foundation) to build a system in which computers could request network services or resources from another computer without specific knowledge of the network or computing environment answering the request. Microsoft has added several extensions to their implementation of the RPC protocol, including the integration of DCOM. DCOM is built upon RPC to provide better interoperability between Microsoft applications and newer technologies such as ActiveX, HTTP, and Java. The DCE RPC and DCOM interfaces are widely used and enabled by default on Windows installations. The DCOM object activation functionality is vulnerable to a remote stack overflow attack and arbitrary code execution when dealing with instantiation of DCOM objects. The vulnerable code executes under the SYSTEM security context and any successful attacks will grant SYSTEM privileges. Integrated buffer overflow protection in Windows Server 2003 is reportedly ineffective at preventing this attack. Recommendations: Detailed information or exploit code is not currently available to demonstrate the flaw. X-Force is researching the vulnerability and will provide updates to this section. X-Force recommends that port 135 is blocked on all perimeter networks. Individuals and network administrators should also configure personal firewalls, desktop and network protection systems to block port 135 as well. Microsoft has released updates to address the vulnerability on all affected platforms. Refer to the Microsoft Security Bulletin MS03-026. Additional Information: The Common Vulnerabilities and Exposures (CVE) project has assigned the name CAN-2003-0352 to this issue. This is a candidate for inclusion in the CVE list (http://cve.mitre.org), which standardizes names for security problems. Last Stage of Delirium http://www.lsd-pl.net Microsoft Security Bulletin MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.asp ______ About Internet Security Systems (ISS) Founded in 1994, Internet Security Systems (ISS) (Nasdaq: ISSX) is a pioneer and world leader in software and services that protect critical online resources from an ever-changing spectrum of threats and misuse. Internet Security Systems is headquartered in Atlanta, GA, with additional operations throughout the Americas, Asia, Australia, Europe and the Middle East. Copyright (c) 2003 Internet Security Systems, Inc. All rights reserved worldwide. This document is not to be edited or altered in any way without the express written consent of Internet Security Systems, Inc. If you wish to reprint the whole or any part of this document, please email xforce em iss.net for permission. You may provide links to this document from your web site, and you may make copies of this document in accordance with the fair use doctrine of the U.S. copyright laws. Disclaimer: The information within this paper may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are NO warranties, implied or otherwise, with regard to this information or its use. Any use of this information is at the user's risk. In no event shall the author/distributor (Internet Security Systems X-Force) be held liable for any damages whatsoever arising out of or in connection with the use or spread of this information. X-Force PGP Key available on MIT's PGP key server and PGP.com's key server, as well as at http://www.iss.net/security_center/sensitive.php Please send suggestions, updates, and comments to: X-Force xforce em iss.net of Internet Security Systems, Inc. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 17 16:47:44 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 17 Jul 2003 16:47:44 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030717194744.GA8020@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 14/07/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 27 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b7.txt SecurityFocus Newsletter #205 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/07/b8.txt Módulo Security News no. 301 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/07/b6.txt 16/07/2003 ---------- SANS NewsBites Vol. 5 Num. 28 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b9.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 18 09:36:34 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 18 Jul 2003 09:36:34 -0300 Subject: [SECURITY-L] SP4 do Windows 2000 pode corromper arquivos da Autodesk Message-ID: <20030718123633.GC8038@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: SP4 do Windows 2000 pode corromper arquivos da Autodesk To: security em unicamp.br Date: Thu, 17 Jul 2003 16:57:14 -0300 (ART) SP4 do Windows 2000 pode corromper arquivos da Autodesk Falha atinge apenas os arquivos do tipo .MAX e .DRF salvos antes da instalação do Service Pack 4 do sistema operacional. Desenvolvedora e Microsoft buscam solução para o problema. Mário Nagano, PC World 17/07/2003 15:52:49 http://pcworld.terra.com.br/pcw/update/9303.html A Autodesk publicou na sua página de suporte(http://usa.autodesk.com/adsk/servlet/ps/item?siteID=123112&id=3431487&linkID=2476059)nos Estados Unidos, que caso o usuário tenha instalado o Service Pack 4 (SP4) para Windows 2000 em seu computador, ele não poderá mais utilizar os programas Autodesk VIZ 4, 3D Studio VIZ 3i ou Autodesk Architectural Desktop 2004 para abrir arquivos do tipo .MAX que foram salvos antes da instalação do SP4. O mesmo também é válido para o programa VIZ Render usado para abrir arquivos do tipo .DRF nas mesmas condições. A empresa já confirmou que esse problema é causado pelo SP4, de modo que ela recomenda que os usuários desses produtos não instalem esse pacote de atualização e, caso já o tenham feito, que desinstalem o mesmo até que uma solução seja encontrada pela Autodesk e a Microsoft. Esse alerta é válido para os seguintes programas: Autodesk Architectural Desktop 2004 Autodesk Building Systems 2004 Autodesk VIZ 4 3D Studio VIZ R3i 3D Studio VIZ R3 Autodesk: http://usa.autodesk.com _______________________________________________________________________ From daniela em ccuec.unicamp.br Fri Jul 18 09:38:00 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 18 Jul 2003 09:38:00 -0300 Subject: [SECURITY-L] Dell detecta falha em palmtop com Windows Mobile 2003 Message-ID: <20030718123759.GD8038@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Dell detecta falha em palmtop com Windows Mobile 2003 To: security em unicamp.br Date: Thu, 17 Jul 2003 16:55:01 -0300 (ART) 17/07/2003 - 15h14 Dell detecta falha em palmtop com Windows Mobile 2003 da Folha Online http://www1.folha.uol.com.br/folha/informatica/ult124u13435.shtml A Dell Computer identificou a falha responsável pela perda de desempenho de seu palmtop Axim X5 com o novo sistema operacional Windows Mobile 2003 para Pocket PC, e suspendeu a produção do equipamento até que ele seja consertada. No início desta semana, diversas reclamações foram postadas no site de usuários do Axim. Segundo as mensagens, o modelo Axim X5 --primeiro e único da linha rodando o Windows Mobile 2003 para Pocket PC-- tem performance muito menor que a do mesmo modelo rodando a versão 2002 do sistema operacional. O Axim X5 com Windows Mobile 2003 foi lançado pela Dell no final do mês de junho. Ao invés de criar um novo palmtop para o novo sistema, a Dell manteve o hardware do X5. Segundo Jess Blackburn, porta-voz da Dell, a empresa realizou testes com o produto e descobriu que a questão de perda de performance do Axim X5 se deve a uma falha no software criado para a atualização do computador de mão. Embora tenha sido desenvolvido para trabalhar com o Windows Mobile 2003 para Pocket PC, o problema do software não está exatamente relacionado ao novo sistema operacional, disse Blackburn. O porta-voz acrescentou que a fabricante está preparando uma atualização para o software. A correção será disponibilizada no site da companhia, bem como em CDs distribuídos aos usuários. Blackburn não deu um prazo exato para o término do desenvolvimento dessa atualização. _______________________________________________________________________ From daniela em ccuec.unicamp.br Fri Jul 18 11:05:29 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 18 Jul 2003 11:05:29 -0300 Subject: [SECURITY-L] Vulnerabilidade do CISCO IOS Message-ID: <20030718140528.GE8038@ccuec.unicamp.br> Srs, Foi anunciado um bug de seguranca nos roteadores e switches da CISCO que rodam o software IOS. Resumo: Uma vulnerabilidade em várias versões do CISCO IOS pode permitir a um intruso executar um ataque de negação de serviço contra um equipamento vulnerável. Solucao: Aplicar a correcao descrita no advisory da CISCO: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml OBS: existe um exploit funcional que foi anunciado publicamente. -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 18 14:06:19 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 18 Jul 2003 14:06:19 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca (1) Message-ID: <20030718170618.GA9662@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 11/07/2003 ---------- Trustix Secure Linux Security Advisory (#2003-025) Assunto: vulnerabilidade de seguranca no pacote apache. http://www.security.unicamp.br/docs/bugs/2003/07/v34.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:694) Assunto: Vulnerabilidade de validação de chaves no pacote gnupg. http://www.security.unicamp.br/docs/bugs/2003/07/v35.txt Debian Security Advisory (DSA 348-1) Assunto: vulnerabilidade de seguranca no pacote traceroute-nanog. http://www.security.unicamp.br/docs/bugs/2003/07/v36.txt 14/07/2003 ---------- CERT Advisory CA-2003-14 Assunto: Buffer Overflow in Microsoft Windows HTML Conversion Library. http://www.security.unicamp.br/docs/bugs/2003/07/v38.txt CAIS-Alerta Assunto: CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library. http://www.security.unicamp.br/docs/bugs/2003/07/v39.txt Slackware Security Advisory (SSA:2003-195-01) Assunto: nfs-utils off-by-one overflow fixed. http://www.security.unicamp.br/docs/bugs/2003/07/v40.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-018-01) Assunto: vulnerabilidade de seguranca no pacote nfs-utils. http://www.security.unicamp.br/docs/bugs/2003/07/v46.txt 15/07/2003 ---------- SuSE Security Announcement (SuSE-SA:2003:031) Assunto: vulnerabilidade de seguranca no pacote nfs-utils. http://www.security.unicamp.br/docs/bugs/2003/07/v41.txt Debian Security Advisory (DSA 350-1) Assunto: vulnerabilidade de seguranca no pacote falconseye. http://www.security.unicamp.br/docs/bugs/2003/07/v42.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:695) Assunto: Vulnerabilidade local no pacote mpg123. http://www.security.unicamp.br/docs/bugs/2003/07/v43.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:696) Assunto: Vulnerabilidade remota (estouro de buffer) no pacote ucd-snmp. http://www.security.unicamp.br/docs/bugs/2003/07/v44.txt Slackware Security Advisory (SSA:2003-195-01b) Assunto: nfs-utils packages replaced. http://www.security.unicamp.br/docs/bugs/2003/07/v45.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Mon Jul 21 09:27:19 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 21 Jul 2003 09:27:19 -0300 Subject: [SECURITY-L] Falha no Cisco IOS pode derrubar redes Message-ID: <20030721122719.GB266@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Falha no Cisco IOS pode derrubar redes To: security em unicamp.br Date: Fri, 18 Jul 2003 15:07:35 -0300 (ART) Falha no Cisco IOS pode derrubar redes 18/7/2003 - 14:07 Giordani Rodrigues http://www.infoguerra.com.br/infoguerra.php?newsid=1058548029,37920, Um dos assuntos mais discutidos em listas de segurança nos últimos dois dias foi uma falha descoberta no Cisco IOS, sistema operacional usado por vários dispositivos de redes, entre os quais os roteadores e switches da Cisco. O problema se agrava devido ao fato de que tais equipamentos são utilizados em larga escala em redes do mundo inteiro e também porque acaba de ser anunciada a criação de um exploit, software que permite que crackers se aproveitem da falha. A vulnerabilidade pode ser explorada remotamente para provocar um ataque de negação de serviço (Denial of Service ou DoS). A falha está relacionada ao processamento de pacotes sob o protocolo IPv4 (Internet Protocol versão 4), usado como padrão nos roteadores Cisco. Uma seqüência rara de pacotes IPv4, especialmente construída, pode forçar a interface de entrada dos dispositivos afetados a parar de processar os dados. O ataque pode ser repetido em todas as interfaces dos equipamentos que usem o Cisco IOS até que o roteador se torne inacessível, provocando a queda de toda uma rede. A Cisco já publicou um documento(http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml) contendo detalhes sobre o problema, bem como as correções necessárias. Várias empresas e provedores de porte que utilizam os equipamentos da Cisco já providenciaram a atualização de seus sistemas e quem ainda não o fez deve tomar providências o quanto antes. O centro de segurança CERT/CC publicou há pouco um alerta, já traduzido para o português(http://www.nbso.nic.br/certcc/advisories/CA-2003-17-br.html) pelo NBSO (Nic-BR Security Office), relatando a criação de um exploit para a vulnerabilidade. "É provável que invasores começarão a usar este ou outros exploits para causar interrupções de serviços", afirmam os pesquisadores. Administradores que acreditam que suas redes foram comprometidas estão sendo estimulados a reportar as atividades para o grupo de respostas a incidentes de segurança local. Outras informações em português sobre o problema podem ser encontradas no site: http://www.nbso.nic.br/certcc/advisories/CA-2003-15-br.html ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 21 09:25:41 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 21 Jul 2003 09:25:41 -0300 Subject: [SECURITY-L] SANS Flash Report: Exploit In-The-Wild for Cisco Vulnerability Message-ID: <20030721122541.GA266@ccuec.unicamp.br> ----- Forwarded message from The SANS Institute ----- From: The SANS Institute Subject: SANS Flash Report: Exploit In-The-Wild for Cisco Vulnerability To: Daniela Silva (SD312664) Date: Fri, 18 Jul 2003 12:04:55 -0600 (MDT) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 SANS Flash Report: Exploit In-The-Wild for Cisco Vulnerability July 18, 2000, 7:20 am, EDT By now you have heard about the vulnerability in Cisco routers that makes attacks easy. This morning, the Department of Homeland Security was informed that an exploit for this vulnerability has been seen in the wild. So, in coordination with the Department's outreach effort, SANS is sending this Flash Report to encourage you to use the new work around, published yesterday by Cisco, or to patch your Cisco IOS routers. The vulnerability affects all Cisco devices running IOS and configured to process Internet Protocol Version 4 (IPv4) packets. That means nearly every site. DHS and CERT/CC published a brief advisory http://www.cert.org/advisories/CA-2003-15.html Cisco published (and updated yesterday) a much more detailed advisory telling you exactly what to do for your device. http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml Also, if your systems are impacted by attacks using this vulnerability, please let us know (as soon as your connectivity is restored), so we can keep track of the damage. Alan Paller Director of Research The SANS Institute -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (Darwin) iD8DBQE/GAoM+LUG5KFpTkYRAqA4AKCeYdq8ElWTK4wx5j1kG+CV7QQJGwCghAlC gqDJ0kIY0Ua324JFFjiRZNc= =Qt9S -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 21 14:21:30 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 21 Jul 2003 14:21:30 -0300 Subject: [SECURITY-L] Aumentando a seguranca do Windows 2000/XP Message-ID: <20030721172130.GB1012@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Aumentando a seguranXa do Windows 2000/XP To: security em unicamp.br Date: Mon, 21 Jul 2003 13:35:54 -0300 (ART) Aumentando a segurança do Windows 2000/XP Enviado em Segunda, 21 de julho de 2003 às 10:18:06 BRT por dms http://www.secforum.com.br/article.php?sid=1713&mode=thread&order=0 Artigo divulgado pela atruereview.com mostrando como aumentar a segurança de seus sistemas Windows 2000 e XP. Link: http://www.atruereview.com/Articles/winsecurity.php ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 22 10:21:14 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 22 Jul 2003 10:21:14 -0300 Subject: [SECURITY-L] Show do Milhao destrutivo Message-ID: <20030722132114.GC2342@ccuec.unicamp.br> ----- Forwarded message from Giordani Rodrigues ----- From: "Giordani Rodrigues" Subject: [GTS-L] Show do Milhão destrutivo To: Date: Tue, 22 Jul 2003 06:54:48 -0300 X-Mailer: Microsoft Outlook Express 6.00.2800.1158 Falso Show do Milhão traz vírus Chernobyl 22/7/2003 - 6:08 Giordani Rodrigues Depois de Silvio Santos ter sido alvo de boatos pela Internet e fora dela, sua imagem e seu nome agora estão sendo usados em golpes na rede. Uma mensagem fraudulenta oferecendo a oportunidade de participar do Show do Milhão, conhecido programa do apresentador, é o golpe da semana. Mas em vez de trazer um trojan para roubar senhas bancárias, como tem sido comum, o e-mail leva a um link com o vírus Chernobyl, altamente destrutivo. http://www.infoguerra.com.br/infoguerra.php?newsid=1058864886,38589,/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 23 10:08:13 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 23 Jul 2003 10:08:13 -0300 Subject: [SECURITY-L] Aumenta risco de ataques ao Cisco IOS Message-ID: <20030723130813.GC4915@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Aumenta risco de ataques ao Cisco IOS To: security em unicamp.br Date: Wed, 23 Jul 2003 00:36:23 -0300 (ART) Aumenta risco de ataques ao Cisco IOS 22/7/2003 - 18:10 Giordani Rodrigues http://www.infoguerra.com.br/infoguerra.php?newsid=1058908216,83540, O risco apresentado pelo exploit (software) criado para atacar redes com o sistema Cisco IOS vulnerável a uma falha anunciada na semana passada foi aumentado para grau três, em uma escala que chega até quatro, segundo critérios da empresa de segurança Symantec. A falha, considerada grave, abre brechas para ataques remotos de negação de serviço (DoS), que podem derrubar uma rede inteira. O exploit foi postado em uma lista pública de correio eletrônico no último dia 18. A Symantec aplica o nível de risco três quando uma ameaça isolada à infra-estrutura de computação está a caminho. A empresa recomenda que as organizações de tecnologia da informação aumentem a monitorização, a implementação e a reconfiguração de seus sistemas de segurança. O índice da Symantec anteriormente foi elevado para três em resposta a códigos como CodeRed, SQL Slammer e BugbearB. A empresa ainda não registrou qualquer tentativa de automatização do exploit, com o objetivo de atacar uma ampla faixa de endereços IP, mas afirma que seu centro de resposta continuará a monitorar quaisquer atividades incomuns. A vulnerabilidade em questão afeta equipamentos da Cisco, como roteadores e switches, que utilizem o sistema Cisco IOS ainda não atualizado e manipulem pacotes de dados sob o protocolo IPv4 (Internet Protocol versão 4), padrão para estes equipamentos. Os administradores de redes que estão usando versões vulneráveis do Cisco IOS estão sendo aconselhados a aplicar imediatamente as correções correspondentes, atraves do site: http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml Produtos da Symantec, como Enterprise Firewall, Gateway Security e VelociRaptor bloqueiam os pacotes de dados apontados para a vulnerabilidade do IPv4. Outra empresa de segurança, a Foundstone, lançou o SNScan v1.05, uma ferramenta gratuita para detecção de sistemas Cisco vulneráveis. A ferramenta e detalhes sobre seu funcionamento podem ser encontrados no site: http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/snscan.htm ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 23 11:13:31 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 23 Jul 2003 11:13:31 -0300 Subject: [SECURITY-L] Bound by Tradition: A Sampling of the Security Posture of the Internet's DNS Servers Message-ID: <20030723141331.GH4915@ccuec.unicamp.br> ----- Forwarded message from Klaus Steding-Jessen ----- From: Klaus Steding-Jessen Subject: [GTS-L] Bound by Tradition: A Sampling of the Security Posture of the Internet's DNS Servers To: gts-l em listas.unesp.br Date: Wed, 23 Jul 2003 11:03:56 -0300 [http://www.packetfactory.net/papers/DNS-posture/DNS-posture-1.0.pdf] Bound by Tradition: A Sampling of the Security Posture of the Internet's DNS Servers by Mike Schiffman DNS servers across the Internet running BIND are not up to date with security patches and software updates. As a result, a significant fraction of the Internet's DNS servers is vulnerable to compromise, subversion, denial of service, and general misuse. Considering that DNS is the lynchpin of the corporate enterprise, the i mpact of these vulnerabilities is significant and a successful attack could bring down any online business. Abstract This Research Report presents an overview of the current security posture of DNS servers found across the Internet. The report also covers the following: * A summary of some of the finer points of the DNS protocol * A discussion of why DNS is such a key component in the infrastructure of the Internet * A summary of the BIND software, the most widely used DNS implementation available * A presentation of empirical data that underscores the past and present st ate of security in BIND servers, including correlating the meteoric increase in size of the cod e-base with the number of publicly-reported vulnerabilities ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 23 16:43:05 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 23 Jul 2003 16:43:05 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030723194305.GA8691@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 21/07/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 28 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b10.txt SecurityFocus Newsletter #206 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/07/b11.txt 23/07/2003 ---------- SANS NewsBites Vol. 5 Num. 29 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b12.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Jul 24 13:06:39 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 24 Jul 2003 13:06:39 -0300 Subject: [SECURITY-L] CAIS-Alerta: Patch Acumulativo para Microsoft SQL Server (815495) Message-ID: <20030724160639.GC10237@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Patch Acumulativo para Microsoft SQL Server (815495) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Cc: Centro de Atendimento a Incidentes de Seguranca Date: Thu, 24 Jul 2003 12:22:53 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-031: Cumulative Patch for Microsoft SQL Server (815495), que trata da disponibilização de patch acumulativo para o Microsoft SQL Server que elimina três vulnerabilidades recentemente identificadas. Sistemas Afetados: . Microsoft SQL Server 7.0 . Microsoft Data Engine (MSDE) 1.0 . Microsoft SQL Server 2000 . Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) . Microsoft SQL Server 2000 Desktop Engine (Windows) Correções disponíveis: A correção consiste na aplicação do patch recomendado pela Microsoft e disponível em: * Microsoft SQL Server 7.0 http://microsoft.com/downloads/details.aspx?FamilyId=FE5B0892-A5C9-44C2-9B42-0D291E9C1636&displaylang=en * Microsoft SQL 2000 32-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D&displaylang=en * Microsoft SQL 2000 64-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=72336508-057A-4E86-8F2E-CB1BD3A6A44B&displaylang=en Maiores informações: http://www.microsoft.com/technet/security/bulletin/ms03-031.asp Identificadores do CVE: CAN-2003-0230, CAN-2003-0231, CAN-2003-0232 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - ----------------------------------------------------------------- Title: Cumulative Patch for Microsoft SQL Server (815495) Date: 23 July 2003 Software: - Microsoft SQL Server 7.0 - Microsoft Data Engine (MSDE) 1.0 - Microsoft SQL Server 2000 - Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) - Microsoft SQL Server 2000 Desktop Engine (Windows) Impact: Run code of attacker's choice Max Risk: Important Bulletin: MS03-031 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-031.asp http://www.microsoft.com/security/security_bulletins/ms03-031.asp - ----------------------------------------------------------------- Issue: ====== This is a cumulative patch that includes the functionality of all previously released patches for SQL Server 7.0, SQL Server 2000, MSDE 1.0, and MSDE 2000. In addition, it eliminates three newly discovered vulnerabilities. - Named Pipe Hijacking - Upon system startup, SQL Server creates and listens on a specific named pipe for incoming connections to the server. A named pipe is a specifically named one-way or two-way channel for communication between a pipe server and one or more pipe clients. The named pipe is checked for verification of which connection attempts can log on to the system running SQL Server to execute queries against data that is stored on the server. A flaw exists in the checking method for the named pipe that could allow an attacker local to the system running SQL Server to hijack (gain control of) the named pipe during another client's authenticated logon password. This would allow the attacker to gain control of the named pipe at the same permission level as the user who is attempting to connect. If the user who is attempting to connect remotely has a higher level of permissions than the attacker, the attacker will assume those rights when the named pipe is compromised. - Named Pipe Denial of Service - In the same named pipes scenario that is mentioned in the "Named Pipe Hijacking" section of this bulletin, it is possible for an unauthenticated user who is local to the intranet to send a very large packet to a specific named pipe on which the system running SQL Server is listening and cause it to become unresponsive. This vulnerability would not allow an attacker to run arbitrary code or elevate their permissions, but it may still be possible for a denial of service condition to exist that would require that the server be restarted to restore functionality. - SQL Server Buffer Overrun - A flaw exists in a specific Windows function that may allow an authenticated user-with direct access to log on to the system running SQL Server-the ability create a specially crafted packet that, when sent to the listening local procedure call (LPC) port of the system, could cause a buffer overrun. If successfully exploited, this could allow a user with limited permissions on the system to elevate their permissions to the level of the SQL Server service account, or cause arbitrary code to run. Mitigating Factors: ==================== Named Pipe Hijacking: - To exploit this flaw, the attacker would need to be an authenticated user local to the system. - This vulnerability provides no way for an attacker to remotely usurp control over the named pipe. Named Pipe Denial of Service: - Although it is unnecessary that the attacker be authenticated, to exploit this flaw the attacker would require access to the local intranet. - Restarting the SQL Server Service will reinstate normal operations - This flaw provides no method by which an attacker can gain access to the system or information contained in the database. SQL Server Buffer Overrun: - To exploit this flaw, the attacker would need to be an authenticated user local to the system. - This vulnerability cannot be remotely exploited. Risk Rating: ============ - Important Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at http://www.microsoft.com/technet/security/bulletin/ms03-031.asp http://www.microsoft.com/security/security_bulletins/ms03-031.asp for information on obtaining this patch. Acknowledgment: =============== - Andreas Junestam www. em stake.com - ----------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPx/51+kli63F4U8VAQHKuAP5AXcFu676E5RqR6jO9A1mu68zcuMPmQv4 chsryYK87DWn/aptSyglxY7hNP5SjE+vKmfdRQ6ct4DWQQnn8pubMLp+EwO/Mu6N YKJLT9j5ZyYQ894ftcio1OyCzLKC5uNWhBBukuHTNsMpy7grA7nMmp0dTGP+JTBp MVdMsGyvXBE= =G+Ce -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 24 13:08:09 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 24 Jul 2003 13:08:09 -0300 Subject: [SECURITY-L] CAIS-Alerta: Falha no Windows possibilita Negacao de Servico (823803) Message-ID: <20030724160809.GD10237@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Falha no Windows possibilita Negação de Serviço (823803) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Cc: Centro de Atendimento a Incidentes de Seguranca Date: Thu, 24 Jul 2003 12:12:24 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-029: Flaw in Windows Function Could Allow Denial of Service (823803), tratando de uma vulnerabilidade existente em uma função do sistema de gerenciamento de arquivos do Windows, podendo causar Negação de Serviço. A vulnerabilidade afeta uma função do sistema de arquivos do Windows que quando recebe requisições especialmente construídas pode liberar memória não alocada pela função. Aplicativos que podem ser acessados remotamente e que utilizam essa função, podem ser explorados por um atacante remoto. Sistemas afetados: . Microsoft Windows NT 4.0 . Microsoft Windows NT 4.0 Terminal Server Edition Correções disponíveis: A correção consiste na aplicação do patch recomendado pela Microsoft e disponível em: * Microsoft Windows NT 4.0 http://microsoft.com/downloads/details.aspx?FamilyId=8FF8CA3E-D546-4FAF-851F-FFBE2490B901&displaylang=en * Microsoft Windows NT 4.0 Terminal Server Edition http://microsoft.com/downloads/details.aspx?FamilyId=5C46460D-3887-4D5F-B142-F505BB208797&displaylang=en Maiores informações podem ser obtidas através da seguinte url: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-029.asp Identificador do CVE: CAN-2003-0525 (http://www.cve.mitre.org) O CAIS recomenda aos administradores de plataforma Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - ---------------------------------------------------------------------- Title: Flaw in Windows Function Could Allow Denial of Service (823803) Date: 23 July 2003 Software: Microsoft Windows NT 4.0 Server Impact: Denial of service Max Risk: Moderate Bulletin: MS03-029 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-029.asp http://www.microsoft.com/security/security_bulletins/ms03-029.asp - ---------------------------------------------------------------------- Issue: ====== A flaw exists in a Windows NT 4.0 Server file management function that can cause a denial of service vulnerability. The flaw results because the affected function can cause memory that it does not own to be freed when a specially crafted request is passed to it. If the application making the request to the function does not carry out any user input validation and allows the specially crafted request to be passed to the function, the function may free memory that it does not own. As a result, the application passing the request could fail. By default, the affected function is not accessible remotely, however applications installed on the operating system that are available remotely may make use of the affected function. Application servers or Web servers are two such applications that may access the function. Note that Internet Information Server 4.0 (IIS 4.0) does not, by default, make use of the affected function. Mitigating Factors: ==================== - -The default installation of Windows NT 4.0 Server is not vulnerable to a remote denial of service. Additional software that makes use of the affected file management function must be installed on the system to expose the vulnerability remotely. - -If the application calling the affected file management function carries out input validation, the specially crafted request may not be passed to the vulnerable function. - -The vulnerability cannot be used to cause Windows NT 4.0 Server itself to fail. Only the application that makes the request may fail. Risk Rating: ============ -Moderate Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at http://www.microsoft.com/technet/security/bulletin/ms03-029.asp http://www.microsoft.com/security/security_bulletins/ms03-029.asp for information on obtaining this patch. Acknowledgment: =============== - Matt Miller and Jeremy Rauch of @stake, http://www.atstake.com - --------------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPx/3a+kli63F4U8VAQGgPgQAw3HLhk0FukA0mWyWZCe/GTZbuE3/Es6n 8k1iLkh6o6yZUt/3FjuGR75QI4Ufj1cqUtuG2ygm1t6z4nTp+Xm0aGW51xOzQBeK 2HuNbwjr2QUAxZQAtKV2z5n0AF2AyqfErYs4X8XeJkfIor7q86b/nbO5MZJb4y7I 7nw0VojvXdI= =uTZd -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 24 13:06:18 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 24 Jul 2003 13:06:18 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no DirectX (819696) Message-ID: <20030724160617.GB10237@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no DirectX (819696) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Cc: Centro de Atendimento a Incidentes de Seguranca Date: Thu, 24 Jul 2003 12:20:43 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-030: Unchecked Buffer in DirectX Could Enable System Compromise (819696), tratando de uma vulnerabilidade identificada no DirectShow cuja exploração pode permitir a execução de código arbitrário. A vulnerabilidade está associada as funções que checam parâmetros em um arquivo MIDI. Criando um arquivo MIDI especial, um atacante pode executar código malicioso no sistema do usuário. Para essa vulnerabilidade ser explorada, o usuário deve acessar uma página web que contenha o arquivo MIDI ou então abrir um e-mail HTML ao qual tenha sido anexado tal arquivo. Sistemas Afetados: . Microsoft DirectX 5.2 no Windows 98 . Microsoft DirectX 6.1 no Windows 98 SE . Microsoft DirectX 7.0a no Windows Millennium Edition . Microsoft DirectX 7.0 no Windows 2000 . Microsoft DirectX 8.1 no Windows XP/Server 2003 . Microsoft DirectX 9.0a instalado em Windows 98/98SE/Millenium/2000/XP/Server 2003 . Microsoft Windows NT 4.0 Server com Windows Media Player 6.4 ou Internet Explorer 6 Service Pack 1 instalado. . Microsoft Windows NT 4.0, Terminal Server Edition com Windows Media Player 6.4 ou Internet Explorer 6 Service Pack 1 instalado. É importante notar que o Microsoft Windows Server 2003 com o Internet Explorer vem com uma configuração padrão para o OutLook Express visualizar e-mails somente no modo texto, que impede essa vulnerabilidade de ser explorada. Mesmo assim, esse sistema ainda está vulnerável ao ataque através de páginas web. Correções disponíveis: A correção consiste na aplicação dos patches recomendados pela Microsoft e disponíveis em: * Microsoft DirectX 5.2, DirectX 6.1 e DirectX 7.0a no Windows 98, Windows 98 SE e Windows Millennium Edition (Necessário atualizar para versão DirectX 9.0b) http://microsoft.com/downloads/details.aspx?FamilyId=141D5F9E-07C1-462A-BAEF-5EAB5C851CF5&displaylang=en * Microsoft DirectX 7.0 no Windows 2000 http://microsoft.com/downloads/details.aspx?FamilyId=7D0E4787-A993-4C49-A5A7-9A6DE8EFDB9E&displaylang=en * Microsoft DirectX 8.1 no Windows XP 32-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=5ABA6A3B-F67B-4B18-B4B5-62E69A0104CE&displaylang=en * Microsoft DirectX 8.1 no Windows XP 64-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=8F23F7AF-5317-4502-8B17-7C1A2139EBDC&displaylang=en * Microsoft DirectX 8.1 no Windows Server 2003 32-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=A5156FF8-1812-4DB4-9175-BF9CA370279D&displaylang=en * Microsoft DirectX 8.1 no Windows Server 2003 64-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=59732FCF-993A-45E8-8BA4-064575055D86&displaylang=en * Microsoft DirectX 9.0a: Todas as versoes de Windows http://microsoft.com/downloads/details.aspx?FamilyId=22F990CB-E9F9-4670-8B4F-AC4F6F66C3A2&displaylang=en * Microsoft Windows NT 4.0 http://microsoft.com/downloads/details.aspx?FamilyId=B42C5BCB-6D36-437D-A07E-053B72B1C652&displaylang=en * Microsoft Windows NT 4.0, Terminal Server Edition http://microsoft.com/downloads/details.aspx?FamilyId=14290AD7-EE7D-4736-8322-BCA4CBD7D7C5&displaylang=en * Microsoft DirectX 9.0b: Todas as versoes de Windows, Com excecao do Microsoft Windows NT 4.0 http://microsoft.com/downloads/details.aspx?FamilyId=141D5F9E-07C1-462A-BAEF-5EAB5C851CF5&displaylang=en Maiores informações: http://www.microsoft.com/technet/security/bulletin/ms03-030.asp Identificador do CVE: CAN-2003-0346 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - ---------------------------------------------------------------------- Title: Unchecked Buffer in DirectX Could Enable System Compromise (819696) Date: July 23, 2003 Software: Microsoft DirectX(r) 5.2 on Windows 98 Microsoft DirectX 6.1 on Windows 98 SE Microsoft DirectX 7.0a on Windows Millennium Edition Microsoft DirectX 7.0 on Windows 2000 Microsoft DirectX 8.1 on Windows XP Microsoft DirectX 8.1 on Windows Server 2003 Microsoft DirectX 9.0a when installed on Windows 98 Microsoft DirectX 9.0a when installed on Windows 98 SE Microsoft DirectX 9.0a when installed on Windows Millennium Edition Microsoft DirectX 9.0a when installed on Windows 2000 Microsoft DirectX 9.0a when installed on Windows XP Microsoft DirectX(r) 9.0a when installed on Windows Server 2003 Microsoft Windows NT 4.0 Server with either Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 installed. Microsoft Windows NT 4.0, Terminal Server Edition with either Windows Media Player 6.4 or Internet Explorer 6 Service Pack 1 installed. Impact: Allow an attacker to execute code on a user's system Max Risk: Critical Bulletin: MS03-030 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-030.asp http://www.microsoft.com/security/security_bulletins/ms03-030.asp - ---------------------------------------------------------------------- Issue: ====== DirectX consists of a set of low-level Application Programming Interfaces (APIs) that are used by Windows programs for multimedia support. Within DirectX, the DirectShow technology performs client- side audio and video sourcing, manipulation, and rendering. There are two buffer overruns with identical effects in the function used by DirectShow to check parameters in a Musical Instrument Digital Interface (MIDI) file. A security vulnerability results because it would be possible for a malicious user to attempt to exploit these flaws and execute code in the security context of the logged-on user. An attacker could seek to exploit this vulnerability by creating a specially crafted MIDI file designed to exploit this vulnerability and then host it on a Web site or on a network share, or send it by using an HTML-based e-mail. In the case where the file was hosted on a Web site or network share, the user would need to open the specially crafted file. If the file was embedded in a page the vulnerability could be exploited when a user visited the Web page. In the HTML-based e-mail case, the vulnerability could be exploited when a user opened or previewed the HTML-based e-mail. A successful attack could cause DirectShow, or an application making use of DirectShow, to fail. A successful attack could also cause an attacker's code to run on the user's computer in the security context of the user. Mitigating Factors: ==================== - - By default, Internet Explorer on Windows Server 2003 runs in Enhanced Security Configuration. This default configuration of Internet Explorer blocks the e-mail-based vector of this attack because Microsoft Outlook Express running on Windows Server 2003 by default reads e-mail in plain text. If Internet Explorer Enhanced Security Configuration were disabled, the protections put in place that prevent this vulnerability from being exploited would be removed. - - In the Web-based attack scenario, the attacker would have to host a Web site that contained a Web page used to exploit these vulnerabilities. An attacker would have no way to force users to visit a malicious Web site outside the HTML-based e-mail vector. Instead, the attacker would need to lure them there, typically by getting them to click a link that would take them to the attacker's site. - -The combination of the above means that on Windows Server 2003 an administrator browsing only to trusted sites should be safe from this vulnerability. - - Code executed on the system would only run under the privileges of the logged-on user. Risk Rating: ============ - Critical Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at http://www.microsoft.com/technet/security/bulletin/ms03-030.asp http://www.microsoft.com/security/security_bulletins/ms03-030.asp for information on obtaining this patch. Acknowledgment: =============== - eEye Digital Security, http://www.eeye.com - --------------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPx/5aukli63F4U8VAQGeRgP+I4weMXFWTkQwCy6kdn6HgSOgkzRYcN9S +BpGR6S1/L2raoBuOQiGNTQfVC4Temxo1Yzg3Thzdz1273nm+uyiOk8jlvcPmSZl +wkSvmPajX9PbdB+4O14BItoRVSMQdd/q8XtJwUdV4ReDFBZiMeLVJduCsk1gkEQ Y1xauSyLHps= =fFSF -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 23 14:16:30 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 23 Jul 2003 14:16:30 -0300 Subject: [SECURITY-L] Sistema desvenda senhas do Windows em poucos segundos Message-ID: <20030723171630.GI4915@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Sistema desvenda senhas do Windows em poucos segundos To: security em unicamp.br Date: Wed, 23 Jul 2003 13:21:30 -0300 (ART) 23/07/2003 - 12h00 Sistema desvenda senhas do Windows em poucos segundos da Folha Online http://www1.folha.uol.com.br/folha/informatica/ult124u13482.shtml Pesquisadores suíços desenvolveram um sistema com o qual conseguem descobrir senhas do Windows em apenas 13 segundos. Até então, o tempo mínimo necessário para isso era de um minuto e 43 segundos. O novo sistema aumentou a preocupação da comunidade de segurança em relação à forma como a Microsoft codifica as palavras no Windows. Philippe Oechslin, um dos especialistas suíços, publicou recentemente um relatório no qual explica esse sistema para "crackear" senhas. Segundo o documento, os pesquisadores usaram 1,4 GB de dados (dois CD-ROMs) para descobrir 99,9% de todas as senhas alfanuméricas. Surpreendentemente, os especialistas não estavam interessados, de fato, em desvendar senhas do Windows, mas tentavam demonstrar a técnica anterior de criptografia usada pelo sistema. Eles descobriram que as senhas são vulneráveis porque, quando criptografadas, não incluem informaçãoes aleatórias. Ou seja, a mesma senha em dois computadores Windows diferentes sempre será igual, mesmo depois de criptografada. Isso facilita burlar a criptografia das senhas, explicou Oechslin. Ainda que seja possível gerar senhas mais seguras com o uso de caracteres que não sejam números ou letras, os pesquisadores dizem que isso não resolverá o problema de senhas do Windows. De acordo com eles, isso exigiria apenas um pouco mais de tempo e dados para descobrir essas senhas também. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jul 24 16:18:49 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 24 Jul 2003 16:18:49 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030724191849.GA10511@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 21/07/2003 ---------- Anúncio de Segurança do Conectiva Linux (CLA-2003:698) Assunto: Vulnerabilidades de negacao de servico no apache. http://www.security.unicamp.br/docs/bugs/2003/07/v70.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:699) Assunto: Diversas correcoes e melhorias no pacote apt/synaptic. http://www.security.unicamp.br/docs/bugs/2003/07/v71.txt SCO Security Advisory (CSSA-2003-SCO-11) Assunto: UnixWare 7.1.x : Security vulnerability in Merge prior to Release 5.3.23a. http://www.security.unicamp.br/docs/bugs/2003/07/v72.txt 22/07/2003 ---------- Anúncio de Segurança do Conectiva Linux (CLA-2003:700) Assunto: Vulnerabilidade de buffer overflow no pacote nfs-utils. http://www.security.unicamp.br/docs/bugs/2003/07/v73.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:701) Assunto: Diversas vulnerabilidades e correcoes para o kernel. http://www.security.unicamp.br/docs/bugs/2003/07/v74.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:702) Assunto: Correcao para diversas vulnerabilidades do pacote cups. http://www.security.unicamp.br/docs/bugs/2003/07/v75.txt Debian Security Advisory (DSA 352-1) Assunto: vulnerabilidade de seguranca no pacote fdclone. http://www.security.unicamp.br/docs/bugs/2003/07/v76.txt 23/07/2003 ---------- Novell, Inc (NOVL-2003-2966549) Assunto: Enterprise Web Server PERL Handler Buffer Overflow. http://www.security.unicamp.br/docs/bugs/2003/07/v77.txt Mandrake Linux Security Update Advisory (MDKSA-2003:077) Assunto: vulnerabilidade de seguranca no pacote phpgroupware. http://www.security.unicamp.br/docs/bugs/2003/07/v78.txt MDKSA-2003:077 correction http://www.security.unicamp.br/docs/bugs/2003/07/v79.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:703) Assunto: Vulnerabilidade remota no pacote phpgroupware. http://www.security.unicamp.br/docs/bugs/2003/07/v80.txt Microsoft Security Bulletin (MS03-029) Assunto: Flaw in Windows Function Could Allow Denial of Service (823803). http://www.security.unicamp.br/docs/bugs/2003/07/v81.txt Microsoft Security Bulletin (MS03-030) Assunto: Unchecked Buffer in DirectX Could Enable System Compromise (819696). http://www.security.unicamp.br/docs/bugs/2003/07/v82.txt Microsoft Security Bulletin (MS03-031) Assunto: Cumulative Patch for Microsoft SQL Server (815495). http://www.security.unicamp.br/docs/bugs/2003/07/v83.txt Update: Mandrake Linux Security Update Advisory (MDKSA-2003:071-1) Assunto: vulnerabilidade de seguranca no pacote xpdf. http://www.security.unicamp.br/docs/bugs/2003/07/v87.txt Mandrake Linux Security Update Advisory (MDKSA-2003:078) Assunto: vulnerabilidade de seguranca no pacote mpg123. http://www.security.unicamp.br/docs/bugs/2003/07/v88.txt 24/07/2003 ---------- CAIS-Alerta Assunto: Falha no Windows possibilita Negacao de Servico. http://www.security.unicamp.br/docs/bugs/2003/07/v84.txt CAIS-Alerta Assunto: Vulnerabilidade no DirectX (819696). http://www.security.unicamp.br/docs/bugs/2003/07/v85.txt CAIS-Alerta Assunto: Patch Acumulativo para Microsoft SQL Server (815495). http://www.security.unicamp.br/docs/bugs/2003/07/v86.txt Guardian Digital Security Advisory (ESA-20032407-018) Assunto: vulnerabilidade de seguranca no kernel. http://www.security.unicamp.br/docs/bugs/2003/07/v89.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:704) Assunto: vulnerabilidade de seguranca no pacote apache. http://www.security.unicamp.br/docs/bugs/2003/07/v90.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jul 25 09:42:06 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 25 Jul 2003 09:42:06 -0300 Subject: [SECURITY-L] Oracle alerta para falhas de seguranca Message-ID: <20030725124205.GA11594@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Oracle alerta para falhas de seguranXa To: security em unicamp.br Date: Thu, 24 Jul 2003 19:48:31 -0300 (ART) Oracle alerta para falhas de segurança Quinta-feira, 24 de Julho de 2003 - 18h02 IDG Now! http://idgnow.terra.com.br/idgnow/corporate/2003/07/0001 A Oracle divulgou nesta quinta-feira (24/07), alerta sobre duas sérias falhas de segurança existentes na solução E-Business suite, que se não forem corrigidas, podem permitir que um invasor execute um código malicioso no servidor da E-Business Suite ou consiga visualizar todas as informações de configuração do produto. Segundo a empresa, uma falha de buffer overflow chamada FNDWRR poderia permitir que um invasor cause estragos na solução. O FNDWRR é um programa de interface comum de gateway (CGI) que permite aos clientes a visualização dos relatórios da Oracle e cadastra arquivos via Web browser, de acordo com um alerta divulgado pela empresa de segurança Integrity Corp, responsável pela descoberta da vulnerabilidade. A Oracle ainda anunciou que outra falha de segurança foi descoberta nas páginas do servidor Java (JSPs) associadas ao componente AOL/J Setup test Suite da Suite de E-Business da empresa. As JSPs contém múltiplas vulnerabilidades de segurança que permitem aos invasores a obtenção de dados de configuração que podem ser usados para invadir a E-Business Suite. As duas falhas foram classificadas pela empresa como sendo de “alto risco”. A Oracle forneceu software de correção para cada problema e pediu aos seus cliente para revisar os boletins de segurança e aplicar as correções. Ainda nesta semana, na quarta-feira (23/07), a Oracle revelou uma terceira falha que afeta a solução de banco de dados da empresa. Um buffer overflow do banco de dados chamado EXTPROC permite a execução de código malicioso na máquina afetada. Apesar disso, os invasores têm que conhecer uma senha com privilégios especiais para conseguir se aproveitar desta falha, que também não pode ser acionada de modo remoto. A Oracle alerta, no entanto, que se o banco de dados for conectado diretamente à Web, sem proteção de um servidor de aplicações ou de um firewall, a falha poderá ser acionada. A empresa classificou a falha como sendo de “baixo risco”, porque a mesma é muito mais suscetível à exploração de invasores internos das Intranets corporativas. A empresa também já tem a correção para esta falha e recomenda que os clientes revisem o alerta de segurança antes de aplicarem o software. [ Paul Roberts - IDG News Service / EUA ] ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 25 11:04:39 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 25 Jul 2003 11:04:39 -0300 Subject: [SECURITY-L] Red Hat encontra varias vulnerabilidades no Kernel 2.4 Message-ID: <20030725140438.GA11707@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Red Hat encontra vXrias vulnerabilidades no Kernel 2.4 To: security em unicamp.br Date: Fri, 25 Jul 2003 10:46:07 -0300 (ART) Red Hat encontra várias vulnerabilidades no Kernel 2.4 A Red Hat anunciou um informativo sobre a existência de múltiplas vulnerabilidades no kernel Linux 2.4. A exploração destas falhas poderia expôr informações sigilosas, permitir ataques do tipo DoS (denial of service) ou dar acesso privilegiado a usuários locais. Veja o informativo: http://www.securityfocus.com/bid/8233 Soluções para estas vulnerabilidades: http://www.securityfocus.com/archive/1/329752 ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jul 25 14:31:09 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 25 Jul 2003 14:31:09 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030725173109.GA12116@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 25/07/2003 ---------- SGI Security Advisory (20030703-01-I) Assunto: Emulex FibreChannel Hub Vulnerable to SNMP DoS Attack. http://www.security.unicamp.br/docs/bugs/2003/07/v91.txt Updated: Mandrake Linux Security Update Advisory (MDKSA-2003:066-2) Assunto: vulnerabilidade de seguranca no kernel. http://www.security.unicamp.br/docs/bugs/2003/07/v92.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Mon Jul 28 09:02:14 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 28 Jul 2003 09:02:14 -0300 Subject: [SECURITY-L] CAIS-Alerta: Atualizacao do alerta MS03-026 Message-ID: <20030728120214.GB261@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Atualizacao do alerta MS03-026 To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 25 Jul 2003 16:25:33 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS teve conhecimento da disponibilização de código malicioso que explora a vulnerabilidade descrita no alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-026: Buffer Overrun In RPC Interface Could Allow Code Execution (823980), repassado pelo CAIS e disponível em: http://www.rnp.br/cais/alertas/2003/MS03-026.html O CAIS reitera a recomendação aos administradores de plataformas Microsoft para que apliquem as devidas correcoes, de acordo com as orientacoes do fabricante. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPyGEOekli63F4U8VAQF5igP9ElNS7mzgWg6PzsWd64EtHgwJu9TNlAWG r9hJjRowzY2Cjw8RZbEfrxyBcBqeX65w3QOwcXcj9Uj7b9mFOFBGAwPpcQgAepaH mcSa8nsOGFq/ouPoiGMQpX3OotShpMI9bdNjnEqdBJ7nLldMaXcXGfhHgnr7MYnD AWtrdneG+PA= =3BYl -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 28 08:59:27 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 28 Jul 2003 08:59:27 -0300 Subject: [SECURITY-L] Software para Retirar SpyWares Message-ID: <20030728115927.GA261@ccuec.unicamp.br> ----- Forwarded message from Lucas Cotta - Consultor em Tecnologia ----- From: "Lucas Cotta - Consultor em Tecnologia" Subject: Software para Retirar SpyWares To: Date: Fri, 25 Jul 2003 15:14:02 -0300 Organization: Consultoria Independente X-Mailer: Microsoft Outlook Express 6.00.2800.1158 Oi Daniella, Muito interessante para utilizar em softwares da micro$oft (se não tem jeito de mudar para FreeBSD ou Linux, o que fazer ?). É o SpyBotSD - Spy Bot Search & Destroy - Este programinha FREEWARE tem a função de procurar SpyWares e destruí-los .... Ainda tem uma atualização constante .... O Autor até merece umas ajudinha$. E ele pede, porém avisa também que se não for possível doar ele ( o programa) vai funcionar do mesmo jeito. http://security.kolla.de/index.php?lang=br&page=start Um abraço Lucas Cotta Consultor em Tecnologia cotta em cotta.eti.br ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 28 09:03:36 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 28 Jul 2003 09:03:36 -0300 Subject: [SECURITY-L] Buffer Overflow no Microsoft RPC Message-ID: <20030728120336.GD261@ccuec.unicamp.br> ----- Forwarded message from Klaus Steding-Jessen ----- From: Klaus Steding-Jessen Subject: [S] Buffer Overflow no Microsoft RPC To: seguranca em pangeia.com.br Date: Fri, 25 Jul 2003 16:39:46 -0300 Caros, Aparentemente ja' esta' circulando um exploit remoto contra a vulnerabilidade descrita no Advisory CA-2003-16 do CERT/CC, "Buffer Overflow no Microsoft RPC", que permite a execucao de codigo arbitrario em varias versoes de Windows. A recomendacao e' bloquear o trafego para as portas UDP/TCP 135, 139 e 445 no perimetro da sua rede e aplicar a correcao descrita no advisory abaixo. O advisory, traduzido para o Portugues, esta' disponivel em: http://www.nbso.nic.br/certcc/advisories/CA-2003-16-br.html e o original em Ingles, em: http://www.cert.org/advisories/CA-2003-16.html Abracos, Klaus. NIC BR Security Office http://www.nbso.nic.br/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 28 09:02:57 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 28 Jul 2003 09:02:57 -0300 Subject: [SECURITY-L] CERT Advisory CA-2003-18 Integer Overflows in Microsoft Windows DirectX MIDI Library Message-ID: <20030728120257.GC261@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: CERT Advisory CA-2003-18 Integer Overflows in Microsoft Windows DirectX MIDI Library To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 25 Jul 2003 16:35:45 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta´ repassando o alerta divulgado pelo CERT/CC, CERT Advisory CA-2003-18,CERT Advisory CA-2003-18 Integer Overflows in Microsoft Windows DirectX MIDI Library, que trata de uma vulnerabilidade identificada no DirectX cuja exploração pode permitir a execução de código arbitrário. A Microsoft tratou deste assunto no alerta MS03-030, divulgado pelo CAIS e disponível em: http://www.rnp.br/cais/alertas/2003/MS03-030.html Maiores informações: http://www.cert.org/advisories/CA-2003-18.html http://www.microsoft.com/technet/security/bulletin/ms03-030.asp O CAIS reitera a recomendacao aos administradores de plataformas Microsoft para que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ CERT Advisory CA-2003-18 Integer Overflows in Microsoft Windows DirectX MIDI Library Original issue date: July 25, 2003 Last revised: -- Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Microsoft Windows systems running DirectX (Windows 98, 98SE, NT 4.0, NT 4.0 TSE, 2000, Server 2003) Overview A set of integer overflows exists in a DirectX library included in Microsoft Windows. An attacker could exploit this vulnerability to execute arbitrary code or to cause a denial of service. I. Description Microsoft Windows operating systems include multimedia technologies called DirectX and DirectShow. From Microsoft Security Bulletin MS03-030, "DirectX consists of a set of low-level Application Programming Interfaces (APIs) that are used by Windows programs for multimedia support. Within DirectX, the DirectShow technology performs client-side audio and video sourcing, manipulation, and rendering." DirectShow support for MIDI files is implemented in a library called quartz.dll. This library contains two vulnerabilities: VU#561284 - Microsoft Windows DirectX MIDI library does not adequately validate Text or Copyright parameters in MIDI files VU#265232 - Microsoft Windows DirectX MIDI library does not adequately validate MThd track values in MIDI files In both cases, a specially crafted MIDI file could cause an integer overflow, leading to incorrect memory allocation and heap corruption. Any application that uses DirectX/DirectShow to process MIDI files may be affected by this vulnerability. Of particular concern, Internet Explorer (IE) uses the Windows Media Player ActiveX control and quartz.dll to handle MIDI files embedded in HTML documents. An attacker could therefore exploit this vulnerability by convincing a victim to view an HTML document, such as a web page or an HTML email message, that contains an embedded MIDI file. Note that in addition to IE, a number of applications, including Outlook, Outlook Express, Eudora, AOL, Lotus Notes, and Adobe PhotoDeluxe, use the WebBrowser ActiveX control to interpret HTML documents. Further technical details are available in eEye Digital Security advisory AD20030723. Common Vulnerabilities and Exposures (CVE) refers to these vulnerabilities as CAN-2003-0346. II. Impact By convincing a victim to access a specially crafted MIDI or HTML file, an attacker could execute arbitrary code with the privileges of the victim. The attacker could also cause a denial of service in any application that uses the vulnerable functions in quartz.dll. III. Solution Apply a patch Apply the appropriate patch as specified by Microsoft Security Bulletin MS03-030. Disable embedded MIDI files Change the Run ActiveX controls and plug-ins security setting to Disable in the Internet zone and the zone(s) used by Outlook, Outlook Express, and any other application that uses the WebBrowser ActiveX control to render HTML. This modification will prevent MIDI files from being automatically loaded from HTML documents. This workaround is not a complete solution and will not prevent attacks that attempt to load MIDI files directly. Instructions for modifying IE security zone settings can be found in the CERT/CC Malicious Web Scripts FAQ. Appendix A. Vendor Information This appendix contains information provided by vendors. When vendors report new information, this section is updated and the changes are noted in the revision history. If a vendor is not listed below, we have not received their comments. Microsoft Please see Microsoft Security Bulletin MS03-030. Appendix B. References * CERT/CC Vulnerability Note VU#561284 - http://www.kb.cert.org/vuls/id/561284 * CERT/CC Vulnerability Note VU#265232 - http://www.kb.cert.org/vuls/id/265232 * eEye Digital Security advisory AD20030723 - http://www.eeye.com/html/Research/Advisories/AD20030723.html * Microsoft Security Bulletin MS03-030 - http://microsoft.com/technet/security/bulletin/MS03-030.asp * Microsoft Knowledge Base article 819696 - http://support.microsoft.com/default.aspx?scid=kb;en-us;819696 _________________________________________________________________ These vulnerabilities were researched and reported by eEye Digital Security. _________________________________________________________________ Feedback can be directed to the author, Art Manion. ______________________________________________________________________ This document is available from: http://www.cert.org/advisories/CA-2003-18.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History July 25, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPyGGmukli63F4U8VAQHRzQP7B5XY3R0PJpqqyHkhQ70rsbGfD0Uqy6OP IgCsqE5eXODTqV/ur83mnAQu4A8JEwjgT7sVvHofkAwYgo/L1bESOQM+fMF//EaS hD/GU+WM+zSgNv1PdA7WMZMOaWYI0qitORrNvUzuktLIcs9A031NfXK1l3qVUXp+ XkcHsMH/kKg= =NQLE -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jul 28 09:50:41 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 28 Jul 2003 09:50:41 -0300 Subject: [SECURITY-L] Lancado Apache 1.3.28 Message-ID: <20030728125040.GB316@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: LanXado Apache 1.3.28 To: security em unicamp.br Date: Mon, 28 Jul 2003 01:42:54 -0300 (ART) Lançado Apache 1.3.28 Enviado em: Sunday, July 27 @ 17:29:01 BRT http://www.linuxsecurity.com.br/article.php?sid=7664&mode=thread&order=0 A Apache Software Foundation e o Apache Server Project anunciaram uma nova versão do servidor web mais utilizado na Internet, o Apache 1.3.28... A nova versão possui importantes correções de segurança (CAN-2003-0460, VU#379828) e melhorias no código... http://www.apache.org/dist/httpd/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 29 08:59:10 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 29 Jul 2003 08:59:10 -0300 Subject: [SECURITY-L] Windows permanece exposto, apesar de correcao Message-ID: <20030729115909.GA1003@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Windows permanece exposto, apesar de correXXo To: security em unicamp.br Date: Mon, 28 Jul 2003 17:32:39 -0300 (ART) Windows permanece exposto, apesar de correção Segunda-feira, 28 de Julho de 2003 - 14h32 IDG Now! http://idgnow.terra.com.br/idgnow/pcnews/2003/07/0041 A última vulnerabilidade do Windows ainda tem o potencial de ser tão devastadora quanto o vírus Slammer, em janeiro, apesar de a Microsoft já ter publicado uma correção para o problema. Gunter Ollmann, da ISS X-Force Security Assessment Services, afirmou que descobriu três pedaços de códigos maléficos, que permitem que sejam usados como templates por onde os vírus podem entrar. O especialista afirmou que a maioria das máquinas desktops e servidores que rodam o Windows podem estar vulneráveis, apesar de a Microsoft ter desenvolvido e distribuído patches de correção. Os firewalls, alerta o especialista da ISS, podem barrar boa parte das tentativas de invasão. Mas a maioria das máquinas pode permanecer vulneráveis desde a atualização não seja feita em todas as máquinas da empresa. "Nós estamos no alerta nível 3, o que significa que grande parte da organização pode ser afetada e sofrer conseqüências diretas", acrescentou Ollmann. [ Manek Dubash -- Techworld.com ] ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jul 29 14:02:05 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 29 Jul 2003 14:02:05 -0300 Subject: [SECURITY-L] Hackers distribuem codigo para explorar bug no Windows Message-ID: <20030729170205.GB2528@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Hackers distribuem cXdigo para explorar bug no Windows To: security em unicamp.br Date: Tue, 29 Jul 2003 11:24:34 -0300 (ART) 9/07/2003 - 10h24 Hackers distribuem código para explorar bug no Windows da Folha Online http://www1.folha.uol.com.br/folha/informatica/ult124u13511.shtml Os hackers não perderam tempo e já estão distribuindo em suas listas de discussões na internet um código para explorar a última falha no Windows(http://www1.folha.uol.com.br/folha/informatica/ult124u13431.shtml). A vulnerabilidade está no protocolo do Windows para comunicação remota entre computadores e permite que um invasor assuma o controle de computadores conectados à internet. O bug, que afeta computadores ligados em uma mesma rede, está em um componente chamado RPC (Remote Procedure Call), mais especificamente na parte que cuida da troca de mensagens pelo TCP/IP (Transmission Control Protocol/Internet Protocol) no Windows. A falha permite que um hacker instale códigos de sua escolha no computador da vítima. Segundo o site de notícias Vnunet.com, os piratas de computadores criaram alguns códigos que inicialmente não surtiram efeito. Porém, o que circula atualmente nas listas de discussões dessa comunidade funciona. Gunter Ollmann, especialista em segurança da X-Force Security Assessment Services, disse que caso o código seja instalado em um computador vulnerável, as funções do RPC são totalmente desabilitadas. A Microsoft disponibilizou um arquivo de correção para a falha(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp) no último dia 16, e os administradores de sistemas devem atualizar suas máquinas o quanto antes. O bug afeta as versões NT 4.0, NT 4.0 Terminal Services Edition, 2000, XP e Server 2003 do Windows, e uma correção para ele está no site da Microsoft. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 30 09:28:31 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 30 Jul 2003 09:28:31 -0300 Subject: [SECURITY-L] Lancado KDE 3.1.3 Message-ID: <20030730122831.GB2851@ccuec.unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: LanXado KDE 3.1.3 To: security em unicamp.br Date: Wed, 30 Jul 2003 09:09:36 -0300 (ART) Lançado KDE 3.1.3 O KDE Project anunciou nesta terça a versão 3.1.3 do KDE. Esta versão inclui basicamente correções para bugs reportados através do sistema de bug tracking do KDE. Baixe a nova versão do KDE em http://download.kde.org Fonte: http://www.kde.org/announcements/announce-3.1.3.php ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jul 30 16:17:02 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 30 Jul 2003 16:17:02 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030730191702.GA4604@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 28/07/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 29 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/07/b13.txt Módulo Security News no. 302 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/07/b14.txt SecurityFocus Newsletter #207 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/07/b15.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jul 30 16:52:36 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 30 Jul 2003 16:52:36 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030730195236.GA4695@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 25/07/2003 ---------- CERT Advisory CA-2003-18 Assunto: Integer Overflows in Microsoft Windows DirectX MIDI Library. http://www.security.unicamp.br/docs/bugs/2003/07/v93.txt CAIS-Alerta Assunto: Atualizacao do alerta MS03-026. http://www.security.unicamp.br/docs/bugs/2003/07/v94.txt CAIS-Alerta Assunto: CERT Advisory CA-2003-18 Integer Overflows in Microsoft Windows DirectX MIDI Library. http://www.security.unicamp.br/docs/bugs/2003/07/v95.txt 28/07/2003 ---------- Cisco Security Advisory Assunto: HTTP GET Vulnerability in AP1x00. http://www.security.unicamp.br/docs/bugs/2003/07/v96.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:711) Assunto: Vulnerabilidades remotas de estouro de buffer no pacote mnogosearch. http://www.security.unicamp.br/docs/bugs/2003/07/v97.txt 29/07/2003 ---------- KDE Security Advisory Assunto: Konqueror Referer Leaking Website Authentication Credentials. http://www.security.unicamp.br/docs/bugs/2003/07/v98.txt Debian Security Advisory (DSA 353-1) Assunto: vulnerabilidade de seguranca no pacote sup. http://www.security.unicamp.br/docs/bugs/2003/07/v99.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:713) Assunto: vulnerabilidade de seguranca no pacote perl. http://www.security.unicamp.br/docs/bugs/2003/07/v100.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:714) Assunto: Falta de diretório no pacote drbd-utils. http://www.security.unicamp.br/docs/bugs/2003/07/v101.txt SGI Security Advisory (20030704-01-P) Assunto: IRIX nsd server and modules mishandle AUTH_UNIX gid list. http://www.security.unicamp.br/docs/bugs/2003/07/v102.txt Debian Security Advisory (DSA 354-1) Assunto: vulnerabilidade de seguranca no pacote xconq. http://www.security.unicamp.br/docs/bugs/2003/07/v103.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br