From security em unicamp.br Mon Nov 3 11:00:37 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 3 Nov 2003 11:00:37 -0200 Subject: [SECURITY-L] Mais um golpe envolvendo o site do Banco do Brasil Message-ID: <20031103130036.GA267@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Mais um golpe envolvendo o site do Banco do Brasil To: security em unicamp.br Date: Fri, 31 Oct 2003 13:58:56 -0300 (ART) Mais um golpe envolvendo o site do Banco do Brasil Sexta-feira, 31 de Outubro de 2003 - 13h07 IDG Now! http://idgnow.terra.com.br/idgnow/internet/2003/10/0072 Nesta sexta-feira (31/10), um leitor do IDG NOW! denunciou novo golpe envolvendo o site do Banco do Brasil, que visa enganar clientes da instituição que navegam pela rede. O usuário informou que recebeu um e-mail que faz uma propaganda do serviço BB E-Mail Banking, oferecendo o serviço ao usuário. Segundo ele, a falsa mensagem terminava dizendo que clientes da instituição que efetuassem o cadastramento até o dia 10/11 concorreriam a sorteios mensais de R$ 50 mil. O funcionário do suporte técnico do Banco do Brasil, Vanderlei Martins, disse não ter conhecimento do problema ocorrido hoje, acrescentando ainda que o banco tem tentado chegar até os hackers que lançam golpes na rede com o intuito de roubar senhas de correntistas. "O site do banco informa aos clientes que o banco não envia e-mails sem a permissão dos correntistas", completa Martins. Os usuários podem denunciar e obter orientações como proceder em caso de suspeita de golpe envolvendo o Banco do Brasil por meio do telefone 0800 610500. Site relacionado: · www.bb.com.br Yahoo! Mail - o melhor webmail do Brasil http://mail.yahoo.com.br ----- End forwarded message ----- From security em unicamp.br Mon Nov 3 11:03:53 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 3 Nov 2003 11:03:53 -0200 Subject: [SECURITY-L] Trend Micro em alerta amarelo para vXrus Mimail.C Message-ID: <20031103130352.GB267@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Trend Micro em alerta amarelo para vXrus Mimail.C To: security em unicamp.br Date: Fri, 31 Oct 2003 16:24:14 -0300 (ART) Trend Micro em alerta amarelo para vírus Mimail.C CSO http://www.csoonline.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=25244&Area=1 A Trend Micro, especializada em antivírus corporativo, acaba de emitir alerta para uma nova versão do worm MIMAIL, ameaça de médio risco que está se propagando via Internet. O vírus atinge as plataformas Windows 95, 98, NT, 2000, ME e XP. As características da mensagem contaminada são: Para: admin@??? Assunto: Re[2]: our private photos ??? Corpo da mensagem: Hello Dear!, Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss, James. Atachado: "photos.zip" O vírus utiliza seu próprio sistema Simple Mail Transfer Protocol (SMTP) para se auto enviar e após sua execução este worm memory-resident faz uma cópia de si próprio como NETWATCH.EXE, na pasta do Windows. Em seguida ele cria entradas no sistema, que são executadas a cada reinício do computador. Ele também cria os seguintes arquivos no diretório do Windows: * EML.TMP * ZIP.TMP * EXE.TMP O MIMAIL.C vem em um arquivo .ZIP anexo que contém um arquivo HTML e um UPX Win32 EXE. Quando o arquivo .HTML é aberto, o código malicioso é executado e o vírus começa a explorar uma vulnerabilidade do Internet Explorer. Essa nova ameaça utiliza recursos de engenharia social para convencer o internauta a abrir o arquivo contaminado e também se aproveita de uma vulnerabilidade conhecida do Internet Explorer. As chances de propagação, segundo a Trend Micro, são bastante altas. Data: 31/10/2003 Yahoo! Mail - o melhor webmail do Brasil http://mail.yahoo.com.br ----- End forwarded message ----- From security em unicamp.br Mon Nov 3 11:05:37 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 3 Nov 2003 11:05:37 -0200 Subject: [SECURITY-L] Falha no Norton AntiVXrus 2004 afeta usuXrios nos EUA Message-ID: <20031103130537.GC267@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Falha no Norton AntiVXrus 2004 afeta usuXrios nos EUA To: security em unicamp.br Date: Fri, 31 Oct 2003 16:27:18 -0300 (ART) Falha no Norton AntiVírus 2004 afeta usuários nos EUA Sexta-feira, 31 de Outubro de 2003 - 15h48 IDG Now! O que a princípio deveria ser uma alternativa antipirataria, está causando muitas dores de cabeça aos usuários do popular Norton AntiVirus, solução da empresa de segurança Symantec Corp. Isto porque os consumidores norte-americanos da última versão do software Norton AntiVirus 2004 têm sido obrigados a reativar os códigos de antivírus, firewall e anti-spam do produto toda vez que reiniciam os seus PCs. Depois de religar a máquina por várias vezes, o sistema exibe a mensagem "O período expirou. Este produto não foi habilitado porque você não o ativou". Na quinta-feira (30/10), a Symantec admitiu por meio de uma nota em seu site a existência da falha, dizendo estar investigando o problema. A empresa afirmou também desconhecer o que estaria causando a falha no software. Em sua página na internet, a empresa recomenda aos usuários que foram atingidos pelo problema a instalar um utilitário chamado "Symantec Automated Support Assistant", que traz todas as informações sobre a configuração do sistema. Essa não é a primeira vez no ano que a Symantec causa preocupação por apresentar códigos com defeito. Em junho, várias empresas foram prejudicadas por conta de uma falha na atualização do Symantec AntiVirus Corporate Edition. [ Paul Roberts - IDG News Service, EUA ] http://idgnow.terra.com.br/idgnow/pcnews/2003/10/0065 Yahoo! Mail - o melhor webmail do Brasil http://mail.yahoo.com.br ----- End forwarded message ----- From security em unicamp.br Mon Nov 3 11:19:42 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 3 Nov 2003 11:19:42 -0200 Subject: [SECURITY-L] Dez mandamentos de seguranXa no PC Message-ID: <20031103131942.GA191@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Dez mandamentos de seguranXa no PC To: security em unicamp.br Date: Fri, 31 Oct 2003 18:36:24 -0300 (ART) Dez mandamentos de segurança no PC PCWorld.com/EUA 31/10/2003 15:34 http://pcworld.terra.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=8204792&Area=975000 Em algum lugar do passado recente, um sujeito chamado Bill Gates escreveu: Usarás PC com Windows para trabalhar e acharás ótimo. Mas computadores com Windows são vulneráveis a pragas em proporções bíblicas: vírus que derrubam redes inteiras, worms de e-mails que se replicam na velocidade da luz, cavalos de tróia que se escondem por trás de inocentes programas, hackers que dominam seu computador e muito mais. Felizmente, arqueólogos desenterraram recentemente dois Tablets de pedra de uma garagem perto de Cupertino, na Califórnia, que podem ajudar a nos livrar dessa maldição. Apresentamos aqui algumas instruções de segurança com interpretações de nossos especialistas. 1) Lembrarás sempre do seu antivírus e sempre ficará atualizado. Não é suficiente apenas ter o software instalado (se você não tem um antivírus, pare de ler esse texto agora mesmo e vá arranjar um logo); você também precisa se manter informado sobre as novas pragas virtuais. "Seu antivirus só é bom se atualizado contra os mais recentes vírus" diz Kelly Martin, diretor sênior de produtos do Norton AntiVirus, Programas como o software da Symantec e o McAfee VirusScan da Network Associates atualizam automaticamente sua base de vacinas, com um custo adicional para assinaturas anuais. 2) Não invejarás o arquivo anexo do próximo. Você recebe uma mensagem com um arquivo anexo que você pensa que é de um amigo seu. Apenas clique, então. Você começará a enviar e-mails infectados para todos na sua lista de endereços. Foi assim que o worm Sobig.F se espalhou - e tudo aconteceu tão rápido que milhões de cópias começaram a se espalhar antes mesmo que as companhias de software pudessem atualizar seus bancos de dados. "Nunca confie no campo Endereço de um e-mail", aconselha Chris Wysopal, diretor de pesquisa para a consultoria de segurança @Stake. "E nunca abra um arquivo sem ao menos verificar se ele foi enviado por uma pessoa de confiança, e ele pretendeu lhe enviar essa mensagem". 3) Evitarás falsos downloads de arquivos. Desconfie de qualquer site que peça que você baixe algum tipo de arquivo para visualizar a página, a não ser que o software seja familiar, como um plug-in Flash ou o Acrobat Reader. O arquivo pode conter vírus, um cavalo de tróia ou algum aplicativo que programa seu modem a fazer ligações frequentemente, aumentando sua conta de telefone. "Não instale software via Web a não ser que você esteja absolutamente certo sobre que programa é aquele ou confie demais na empresa que lhe oferece o aplicativo" avisa Wysopal. 4) Destruirás spywares e pop-ups. Como cavalos de Tróia, spywares se instalam secretamente quando você baixa algum software que compartilha arquivos pela Web, por exemplo; o spyware segue todos seus movimentos online e lhe mostra anúncios baseados naquilo que você procura pela Web. Anúncios pop-up podem também explorar falhas de segurança no Internet Explorer, como o recente Trojan Qhost que seqüestrava o navegador dos usuários após uma simples visita a um site do Fortune City. Felizmente, existem ferramentas que podem lhe proteger: por exemplo,o Ad-aware bloqueia Spywares gratuitamente e o StopZilla cuida dos anúncios pop-up. Alguns antivírus e pacotes de segurança também impedem spywares e pop-up personalizados na sua cola. 5) Frustrarás os spammers. E-mails comerciais não solicitados são muito mais que apenas chateações; são também uma das maiores fontes para vírus. Em fato, algumas versões de Sobig são programadas para transformar PCs infectados em máquinas zumbi que podem ser usadas para enviar spam. Um bom filtro como o Norton AntiSpam 2004 da Symantec, o McAfee SpamKiller 5, da Network Associates, ou o IHateSpam, da Subelt Software, ajudam a aprisionar essas maldições que escapam a alguns antivírus. 6) Manterás o sistema operacional atualizado pelos pacotes de correção. Worms de e-mail e outras pragas gostam de explorar falhas de segurança em seu software -- em outras palavras, o Windows e outros programas Microsoft. Atualmente a empresa de Bill Gates divulga tantos pacotes para correção de falhas que a maioria dos usuários apenas ignora os avisos. No começo do ano, um worm explorou uma vulnerabilidade que a Microsoft já havia consertado seis meses antes. Mas milhares de computadores infectados -- inclusive alguns dentro da Microsoft -- não tinham a correção instalada. Faça uma visita ao Windows Update pelo menos uma vez por semana e quando os avisos de segurança do Windows aparecerem. 7) Farás um disco de recuperação e o manterás sempre em mãos. Quando a coisa fica feia, um reboot ou um disco de recuperação são parte do primeiro passo para a recuperação. No mínimo, você colocará os requerimentos básicos de seu sistema operacional em um disquete ou em um ZIP, para que você consiga evitar o disco rígido na inicialização. Uma idéia melhor: use seu antivírus para criar um disco de recuperação que você consiga usar quando o sistema estiver infectado. Cole uma etiqueta nele com a data em que foi feito e guarde-o perto de seu PC. 8) Não cairás em falsos alarmes. Existem mais impostores que hackers na Internet e mais e-mails de alerta sobre vírus falsos do que vírus de verdade. Até mesmo vírus reais são citados em excesso pela mídia. Um alerta falso pode fazer você deletar arquivos que não oferecem risco algum e passar a mensagem para todos seu endereços, entupindo servidores de mensagens e causando danos parecidos a vírus no processo. Quando você recebe um desses e-mails (ou encontra alguma nova notícia bombástica), investigue primeiro. Escreva o nome do suposto vírus em um algum sistema de busca para ver se alguma das maiores empresas de segurança online já tem algum antídoto ou alertas e visite páginas que listam pragas virtuais, como o F-Secure e o Hoaxbusters. 9) Honrarás seu firewall. Um firewall é como um guarda para seu computador - ele checa cada RG em suas portas e não deixa ninguém entrar ou sair se não aprovar. Com ele, um hacker não consegue acessar informações pessoais em seu HD e o logger de teclas (programa espião que monitora todas as teclas digitadas no seu PC) de um cavalo de tróia não conseguirá roubar suas senhas e transmiti-las pela Internet. Tanto a Symantec como a Network Associates oferecem pacotes de firewall pessoais, enquanto o Zone Labs oferece uma versão gratuita de seu ZoneAlarm. Mas a melhor solução é um pacote de segurança online que combina antivirus, firewall, bloqueadores de anúncios e spam e outras aplicações extremamente úteis. 10) Farás backups constantemente e irás considerá-los sagrados. Simples: faça um backup de seus dados ao menos uma vez por semana (diariamente, se você estiver mexendo com negócios). Mesmo se você for vítima de um vírus ou um ataque de hacker, seus danos serão bem menores. Não faça esse backup constantemente e você irá direto pro inferno - pelo menos, foi assim que me senti na última vez que isso me aconteceu. Yahoo! Mail - o melhor webmail do Brasil http://mail.yahoo.com.br ----- End forwarded message ----- From security em unicamp.br Tue Nov 4 17:30:38 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 4 Nov 2003 17:30:38 -0200 Subject: [SECURITY-L] Vulnerabilidades de Seguranca Message-ID: <20031104193037.GA231@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 17/10/2003 ---------- Immunix Secured OS Security Advisory (IMNX-2003-7+-023-01) Assunto: Vulnerabilidade de Seguranca nos pacotes fetchmail, fetchmailconf. http://www.security.unicamp.br/docs/bugs/2003/10/v66.txt 19/10/2003 ---------- OpenPKG Security Advisory (OpenPKG-SA-2003.045) Assunto: remote denial of service vulnerability http://www.security.unicamp.br/docs/bugs/2003/10/v67.txt 20/10/2003 ---------- @stake Security Advisory (a102003-1) Assunto: Opera HREF escaped server name overflow http://www.security.unicamp.br/docs/bugs/2003/10/v68.txt SCO Security Advisory (CSSA-2003-SCO.27) Assunto: OpenServer 5.0.5 : Insecure creation of files in /tmp http://www.security.unicamp.br/docs/bugs/2003/10/v69.txt 22/10/2003 ---------- Anuncio de Seguranca do Conectiva Linux (CLA-2003:768) Assunto: Vulnerabilidade remota de negacao de servico atraves do wu-ftpd http://www.security.unicamp.br/docs/bugs/2003/10/v70.txt Conectiva Linux Security Announcement (CLA-2003:768) Assunto: Denial of service vulnerability (exploitable through wu-ftpd) http://www.security.unicamp.br/docs/bugs/2003/10/v71.txt Anuncio de Seguranca do Conectiva Linux (CLA-2003:769) Assunto: Vulnerabilidades no saned e na utilizacao de arquivos temporarios http://www.security.unicamp.br/docs/bugs/2003/10/v72.txt Conectiva Linux Security Announcement (CLA-2003:769) Assunto: Vulnerabilities in saned and in temporary files handling http://www.security.unicamp.br/docs/bugs/2003/10/v73.txt Microsoft Security Bulletin Assunto: Microsoft Windows Security Bulletin Summary for October 2003 http://www.security.unicamp.br/docs/bugs/2003/10/v74.txt Microsoft Security Bulletin Assunto: Microsoft Exchange Server Security Bulletin Summary for October 2003 http://www.security.unicamp.br/docs/bugs/2003/10/v75.txt 24/10/2003 ---------- Anuncio de Seguranca do Conectiva Linux (CLA-2003:771) Assunto: Vulnerabilidade remota de negacao de servico no pacote anonftp http://www.security.unicamp.br/docs/bugs/2003/10/v76.txt Conectiva Linux Security Announcement (CLA-2003:771) Assunto: Remote denial of service vulnerability in anonftp http://www.security.unicamp.br/docs/bugs/2003/10/v77.txt Mandrake Linux Security Update Advisory (MDKSA-2003:096-1) Assunto: Vulnerabilidade de Seguranca no apache2 http://www.security.unicamp.br/docs/bugs/2003/10/v78.txt 27/10/2003 ---------- SGI Security Advisory (20031001-01-U) Assunto: SGI Advanced Linux Environment security update #2 http://www.security.unicamp.br/docs/bugs/2003/10/v79.txt SGI Security Advisory (20031002-01-U) Assunto: SGI Advanced Linux Environment security update #3 http://www.security.unicamp.br/docs/bugs/2003/10/v80.txt SGI Security Advisory (20031003-01-U) Assunto: SGI Advanced Linux Environment security update #4 http://www.security.unicamp.br/docs/bugs/2003/10/v81.txt Slackware Security Team (SSA:2003-300-01) Assunto: gdm security update http://www.security.unicamp.br/docs/bugs/2003/10/v82.txt Slackware Security Team (SSA:2003-300-02) Assunto: fetchmail security update http://www.security.unicamp.br/docs/bugs/2003/10/v83.txt 28/10/2003 ---------- OpenPKG Security Advisory (OpenPKG-SA-2003.046) Assunto: local buffer overflow no apache http://www.security.unicamp.br/docs/bugs/2003/10/v84.txt @stake Security Advisory (a102803-1) Assunto: Arbitrary File Overwrite via Core Files on kernel http://www.security.unicamp.br/docs/bugs/2003/10/v85.txt @stake Security Advisory (a102803-1) Assunto: Systemic Insecure File Permissions on Finder (Many) http://www.security.unicamp.br/docs/bugs/2003/10/v86.txt @stake Security Advisory (a102803-3) Assunto: Long argv[] buffer overflow http://www.security.unicamp.br/docs/bugs/2003/10/v87.txt STG Security Advisory (SSA-20031025-05) Assunto: InfronTech WebTide 7.04 Directory and File Disclosure Vulnerability http://www.security.unicamp.br/docs/bugs/2003/10/v88.txt Anuncio de Seguranca do Conectiva Linux (CLA-2003:773) Assunto: Vulnerabilidade remota de estouro de buffer no libnids http://www.security.unicamp.br/docs/bugs/2003/10/v89.txt Conectiva Linux Security Announcement (CLA-2003:773) Assunto: Remotely exploitable buffer overflow vulnerability in libnids http://www.security.unicamp.br/docs/bugs/2003/10/v90.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-025-01) Assunto: Vulnerabilidade de Seguranca no apache http://www.security.unicamp.br/docs/bugs/2003/10/v91.txt Microsoft Windows Security Bulletin Assunto: Microsoft Windows Security Bulletin Summary for October 2003 http://www.security.unicamp.br/docs/bugs/2003/10/v92.txt OpenPKG Security Advisory (OpenPKG-SA-2003.047) Assunto: remote code execution in postgresql http://www.security.unicamp.br/docs/bugs/2003/10/v93.txt Gentoo Linux Security Announcement (200310-04) Assunto: buffer overflow on net-www/apache http://www.security.unicamp.br/docs/bugs/2003/10/v94.txt SUSE Security Announcement (SuSE-SA:2003:044) Assunto: remote privilege escalation/ information leak on thttpd http://www.security.unicamp.br/docs/bugs/2003/10/v95.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-026-01) Assunto: Vulnerabilidade de Seguranca no pacote fileutils http://www.security.unicamp.br/docs/bugs/2003/10/v96.txt From security em unicamp.br Wed Nov 5 17:03:33 2003 From: security em unicamp.br (security em unicamp.br) Date: Wed, 5 Nov 2003 17:03:33 -0200 (BRST) Subject: [SECURITY-L] Boletin de =?iso-8859-1?q?Not=EDcias?= Message-ID: <1489.143.106.80.158.1068059013.squirrel@www.unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 22/10/2003 ---------- SANS NewsBites Vol. 5 Num. 42 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/10/b12.txt SANS Critical Vulnerability Analysis Vol 2 No 41 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/10/b13.txt 27/10/2003 ---------- Modulo Security News no. 315 Fonte: Modulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/10/b14.txt SecurityFocus Newsletter #220 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/10/b17.txt 29/10/2003 ---------- SANS NewsBites Vol. 5 Num. 43 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/10/b15.txt SANS Critical Vulnerability Analysis Vol 2 No 42 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/10/b16.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Thu Nov 6 10:16:16 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 10:16:16 -0200 Subject: [SECURITY-L] Lancado versao PHP 4.3.4 Message-ID: <3FAA3B90.40508@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: =?iso-8859-1?q?Caio=20Souza=20Mendes?= Assunto: LanXado versXo PHP 4.3.4 Data: Wed, 5 Nov 2003 09:56:27 -0300 (ART) Tamanho: 1840 URL: From security em unicamp.br Thu Nov 6 10:17:28 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 10:17:28 -0200 Subject: [SECURITY-L] Lancado o Snort 2.0.3 Message-ID: <3FAA3BD8.2060106@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: =?iso-8859-1?q?Caio=20Souza=20Mendes?= Assunto: LanXado o Snort 2.0.3 Data: Wed, 5 Nov 2003 11:30:18 -0300 (ART) Tamanho: 2016 URL: From security em unicamp.br Thu Nov 6 10:19:04 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 10:19:04 -0200 Subject: [SECURITY-L] [FreeBSD-Announce] Ports scheduled for removal on Feb 2 Message-ID: <3FAA3C38.1000105@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: Daniela Assunto: [Fwd: [FreeBSD-Announce] Ports scheduled for removal on Feb 2] Data: Wed, 05 Nov 2003 16:31:40 -0200 Tamanho: 9790 URL: From security em unicamp.br Thu Nov 6 10:21:21 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 10:21:21 -0200 Subject: [SECURITY-L] Microsoft libera primeira atualizacao do Office 2003 Message-ID: <3FAA3CC1.2050301@unicamp.br> Dica enviada por: Caio Souza Mendes Microsoft libera primeira atualização do Office 2003 PC World 05/11/2003 17:24 http://pcworld.terra.com.br/AdPortalV3/adCmsDocumentoShow.aspx?documento=8204803&Area=975000 A Microsoft liberou ontem (4) a primeira atualização do Office 2003. O update, relatado no site(http://www.microsoft.com/downloads/details.aspx?FamilyId=722C7A55-E541-44CC-97CB-572859346DEE&displaylang=en) da empresa, corrige um problema que ocorre quando o usuário tenta abrir ou gravar documentos do PowerPoint 2003, Word 2003 ou Excel 2003 com um arquivo OfficeArt incluído e que tenha sido modificado ou salvo em uma versão anterior do Office. O Office 2003 foi lançado no último dia 21 de outubro. Quando isso ocorre em um arquivo criado nesses três programas, propriedades "complexas" podem ser gravadas junto com o arquivo e podem mudar informações no registro dessas propriedades. Segundo a Microsoft, versões anteriores do Office vão ignorar essa informação, mas o Office 2003 detecta os dados e, com isso, podem surgir problemas, como não abrir o arquivo, corromper o documento, abrir o documento com conteúdo incompleto ou aparecer uma mensagem de erro. A Microsoft recomenda aos usuários do Office 2003 que utilizem o serviço Office Update (http://office.microsoft.com/OfficeUpdate) para determinar se é preciso fazer a atualização. Yahoo! Mail - 6MB, anti-spam e antivírus gratuito. Crie sua conta agora: http://mail.yahoo.com.br From security em unicamp.br Thu Nov 6 10:33:37 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 10:33:37 -0200 Subject: [SECURITY-L] Exec header kernel panic - OpenBSD Message-ID: <3FAA3FA1.1040507@unicamp.br> Subject: [S] [tedu em zeitbombe.org: Exec header kernel panic] From: Rafael R Obelheiro Date: Thu, 6 Nov 2003 08:07:56 -0200 To: seguranca em pangeia.com.br ----- Forwarded message from Ted Unangst ----- Date: Wed, 5 Nov 2003 18:54:13 -0500 (EST) From: Ted Unangst Subject: Exec header kernel panic To: security-announce em openbsd.org A local user can cause a kernel panic using a specially crafted binary. The kernel will attempt to allocate too much memory and panic. The problem was reported by Georgi Guninski, see also http://www.guninski.com/msuxobsd1.html A fix has been committed to 3.3 and 3.4 -stable branches. Patches are also available at ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.4/common/005_exec.patch and ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/010_exec.patch -- ask not what you can do for your country ask what your country did to you ----- End forwarded message ----- From security em unicamp.br Thu Nov 6 10:51:47 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 10:51:47 -0200 Subject: [SECURITY-L] Red Hat cancela suporte ao Linux gratuito Message-ID: <3FAA43E3.7050506@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: =?iso-8859-1?q?Caio=20Souza=20Mendes?= Assunto: Red Hat cancela suporte ao Linux gratuito Data: Thu, 6 Nov 2003 09:33:39 -0300 (ART) Tamanho: 3028 URL: From security em unicamp.br Thu Nov 6 16:30:58 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 06 Nov 2003 16:30:58 -0200 Subject: [SECURITY-L] Boletins de noticias Message-ID: <3FAA9362.8050209@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 03/11/2003 ----------------- Módulo Security News no. 316 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/11/b1.txt 05/11/2003 ----------------- SecurityFocus Newsletter #221 Fonte: SecurityFocus.com http://www.security.unicamp.br/docs/informativos/2003/11/b3.txt SANS NewsBites Vol. 5 Num. 44 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/11/b2.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Fri Nov 7 11:06:13 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 07 Nov 2003 11:06:13 -0200 Subject: [SECURITY-L] Fraquezas em protocolo de seguranca Wireless Message-ID: <3FAB98C5.5070405@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: =?iso-8859-1?q?Caio=20Souza=20Mendes?= Assunto: Fraquezas em protocolo de seguranXa Wireless Data: Fri, 7 Nov 2003 10:00:41 -0300 (ART) Tamanho: 2165 URL: From security em unicamp.br Fri Nov 7 11:07:03 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 07 Nov 2003 11:07:03 -0200 Subject: [SECURITY-L] Lancado o Snort 2.0.4 Message-ID: <3FAB98F7.2080102@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: =?iso-8859-1?q?Caio=20Souza=20Mendes?= Assunto: LanXado o Snort 2.0.4 Data: Thu, 6 Nov 2003 18:32:46 -0300 (ART) Tamanho: 2052 URL: From security em unicamp.br Fri Nov 7 11:13:09 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 07 Nov 2003 11:13:09 -0200 Subject: [SECURITY-L] Descoberta tentativa de criar backdoor no Linux Message-ID: <3FAB9A65.8080307@unicamp.br> -------------- Próxima Parte ---------- Uma mensagem embutida foi limpa... De: =?iso-8859-1?q?Caio=20Souza=20Mendes?= Assunto: Descoberta tentativa de criar backdoor no Linux Data: Fri, 7 Nov 2003 09:58:26 -0300 (ART) Tamanho: 3295 URL: From security em unicamp.br Fri Nov 7 16:22:29 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 07 Nov 2003 16:22:29 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <3FABE2E5.9070907@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de vulnerabildiades: 03/11/2003 ----------------- Red Hat Security Advisory (RHSA-2003:275-01) Assunto: Updated CUPS packages fix denial of service) http://www.security.unicamp.br/docs/bugs/2003/11/v1.txt Red Hat Security Advisory (RHSA-2003:275-01) Assunto: Updated CUPS packages fix denial of service) http://www.security.unicamp.br/docs/bugs/2003/11/v2.txt Mandrake Linux Security Update Advisory (MDKSA-2003:102) Assunto: vulnerabilidade de seguranca no pacote postgresql. http://www.security.unicamp.br/docs/bugs/2003/11/v3.txt Mandrake Linux Security Update Advisory (MDKSA-2003:103) Assunto: vulnerabilidade de seguranca no pacote apache. http://www.security.unicamp.br/docs/bugs/2003/11/v4.txt 04/11/2003 ----------------- OpenSSL Security Advisory Assunto: Denial of Service in ASN.1 parsing. http://www.security.unicamp.br/docs/bugs/2003/11/v5.txt Guardian Digital Security Advisory (ESA-20031104-029) Assunto: vulnerabilidade de seguranca nos pacotes openssl, openssl-misc. http://www.security.unicamp.br/docs/bugs/2003/11/v6.txt Slackware Security Team (SSA:2003-308-01) Assunto: apache security update. http://www.security.unicamp.br/docs/bugs/2003/11/v7.txt 05/11/2003 ----------------- Guardian Digital Security Advisory (ESA-20031104-030) Assunto: vulnerabilidade de seguranca nos pacote apache. http://www.security.unicamp.br/docs/bugs/2003/11/v8.txt Anuncio de Seguranca do Conectiva Linux (CLA-2003:774) Assunto: Correção para diversas vulnerabilidades no pacote bugzilla. http://www.security.unicamp.br/docs/bugs/2003/11/v9.txt Anuncio de Seguranca do Conectiva Linux (CLA-2003:775) Assunto: Correção para diversas vulnerabilidades no pacote apache. http://www.security.unicamp.br/docs/bugs/2003/11/v10.txt Mandrake Linux Security Update Advisory (MDKSA-2003:104) Assunto: vulnerabilidade de seguranca no pacote cups. http://www.security.unicamp.br/docs/bugs/2003/11/v11.txt 06/11/2003 ------------------ Anúncio de Atualização do Conectiva Linux (CLA-2003:776) Assunto: Correções para o ntop. http://www.security.unicamp.br/docs/bugs/2003/11/v12.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:777) Assunto: Correções para diversas vulnerabilidades e problemas com o pacote thttpd. http://www.security.unicamp.br/docs/bugs/2003/11/v13.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Tue Nov 11 15:28:34 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 11 Nov 2003 15:28:34 -0200 Subject: [SECURITY-L] Lancado Nessus 2.0.9 Message-ID: <20031111172834.GC2623@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: LanXado Nessus 2.0.9 To: security em unicamp.br Date: Sun, 9 Nov 2003 00:55:28 -0300 (ART) Lançado Nessus 2.0.9 Enviado por: Admin em Domingo, 09 de Novembro de 2003 - 02:17:44 (GMT) Nessus é uma ferramenta de avaliação de segurança Open Source de maior renome. Basicamente é um scanner de segurança remoto para Linux, BSD, Solaris e outros Unix. Está baseado em plug-ins, possui um interface baseado em GTK, e realiza mais de 1200 provas de segurança remotas. Permite criar reportes, HTML, XML, LaTeX e ASCII; também sugere soluções para os problemas de segurança. Download: http://www.nessus.org/nessus_2_0.html Fonte: Xsecurity.ws ----- End forwarded message ----- From security em unicamp.br Tue Nov 11 16:05:14 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 11 Nov 2003 16:05:14 -0200 Subject: [SECURITY-L] chkrootkit 0.42b Message-ID: <20031111180514.GG2623@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: chkrootkit 0.42b To: security em unicamp.br Date: Tue, 11 Nov 2003 11:34:01 -0300 (ART) chkrootkit 0.42b Enviado em: Tuesday, November 11 @ 10:29:25 EDT http://www.linuxsecurity.com.br/article.php?sid=8037&mode=thread&order=0 Nova versão disponível ... Chkrootkit é um Shell script desenvolvido por Nelson Murilo e colaboradores que checa a existência de rootkits instalados em sua máquina através de comparações com "assinaturas" singulares dos mais comuns... Foi testado com sucesso nas seguintes plataformas: Linux 2.0.x e 2.2.x e 2.4.x (Qualquer distribuição), FreeBSD 2.2.x, 3.x e 4.x, OpenBSD 2.6, 2.7, 2.8, 2.9, 3.0 e 3.1, Solaris 2.5.1, 2.6 e 8.0... Ferramenta INDISPENSÁVEL... Site: http://www.chkrootkit.org/ Download: ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ______________________________________________________________________ ----- End forwarded message ----- From security em unicamp.br Tue Nov 11 16:05:52 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 11 Nov 2003 16:05:52 -0200 Subject: [SECURITY-L] Nessus scanning on Windows domain Message-ID: <20031111180552.GH2623@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Nessus scanning on Windows domain To: security em unicamp.br Date: Tue, 11 Nov 2003 11:35:05 -0300 (ART) Nessus scanning on Windows domain Enviado em: Tuesday, November 11 @ 10:19:50 EDT http://www.linuxsecurity.com.br/article.php?sid=8035&mode=thread&order=0 Esse é um artigo a respeito da utilização do scanner de vulnerabilidades NESSUS para a análise de redes baseadas em Windows... Disponível no formato PDF... http://www.net-security.org/dl/articles/nessus_windows_domain.pdf ______________________________________________________________________ ----- End forwarded message ----- From security em unicamp.br Wed Nov 12 14:52:51 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 12 Nov 2003 14:52:51 -0200 Subject: [SECURITY-L] CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service Message-ID: <20031112165250.GF5176@unicamp.br> ----- Forwarded message from CERT Advisory ----- From: CERT Advisory Subject: CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service To: cert-advisory em cert.org Date: Tue, 11 Nov 2003 19:03:52 -0500 Organization: CERT(R) Coordination Center - +1 412-268-7090 -----BEGIN PGP SIGNED MESSAGE----- CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service Original release date: November 11, 2003 Last revised: -- Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 * Microsoft Windows XP * Microsoft Windows XP Service Pack 1 * Microsoft Windows XP 64-Bit Edition Overview A buffer overflow vulnerability exists in Microsoft's Windows Workstation Service (WKSSVC.DLL). A remote attacker could exploit this vulnerability to execute arbitrary code or cause a denial of service. I. Description Microsoft's Security Bulletin MS03-049 discusses a buffer overflow in Microsoft's Workstation Service that can be exploited via a specially crafted network message. According to the eEye Digital Security Advisory AD20031111, the vulnerability is caused by a flaw in the network management functions of the DCE/RPC service and a logging function implemented in Workstation Service (WKSSVC.DLL). Various RPC functions will permit the passing of long strings to the vsprintf() routine that is used to create log entries. The vsprintf() routine contains no bounds checking for parameters thus creating a buffer overflow situation. The CERT/CC is tracking this issue as VU#567620. This reference number corresponds to CVE candidate CAN-2003-0812. II. Impact A remote attacker could exploit this vulnerability to execute arbitrary code with system-level privileges or to cause a denial of service. The exploit vector and impact for this vulnerability are conducive to automated attacks such as worms. III. Solution Apply a patch from your vendor Apply the appropriate patch as specified in Microsoft Security Bulletin MS03-049. Appendix A contains additional information provided by vendors for this advisory. As vendors report new information to the CERT/CC, we will update this section and note the changes in our revision history. If a particular vendor is not listed below or in the individual vulnerability notes, we have not received their comments. Please contact your vendor directly. Restrict access You may wish to block access from outside your network perimeter, specifically by blocking access to TCP & UDP ports 138, 139, and 445. This will limit your exposure to attacks. However, blocking at the network perimeter would still allow attackers within the perimeter of your network to exploit the vulnerability. It is important to understand your network's configuration and service requirements before deciding what changes are appropriate. Disable the Workstation Service Depending on site requirements, you may wish to disable the Workstation Service as described in MS03-049. Disabling the Workstation Service will help protect against this vulnerability, but may also cause undesirable side effects. According to the Microsoft's Security Bulletin, the impacts of disabling the Workstation Service are as follows: "If the Workstation service is disabled, the system cannot connect to any shared file resources or shared print resources on a network. Only use this workaround on stand-alone systems (such as many home systems) that do not connect to a network. If the Workstation service is disabled, any services that explicitly depend on the Workstation service do not start, and an error message is logged in the system event log. The following services depend on the Workstation service: * Alerter * Browser * Messenger * Net Logon * RPC Locator These services are required to access resources on a network and to perform domain authentication. Internet connectivity and browsing for stand-alone systems, such as users on dial-up connections, on DSL connections, or on cable modem connections, should not be affected if these services are disabled. Note: The Microsoft Baseline Security Analyzer will not function if the Workstation service is disabled. It is possible that other applications may also require the Workstation service. If an application requires the Workstation service, simply re-enable the service. This can be performed by changing the Startup Type for the Workstation service back to Automatic and restarting the system." Appendix A. - Vendor Information This appendix contains information provided by vendors for this advisory. As vendors report new information to the CERT/CC, we will update this section and note the changes in our revision history. If a particular vendor is not listed below or in the individual vulnerability notes, we have not received their comments. Microsoft Corporation Microsoft has released MS03-049. _________________________________________________________________ This vulnerability was discoved by eEye Digital Security and reported in Microsoft Security Bulletin MS03-049. _________________________________________________________________ Author: Jason A Rafail. ______________________________________________________________________ This document is available from: http://www.cert.org/advisories/CA-2003-28.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History Nov 11, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP7F0nJZ2NNT/dVAVAQG7/wQAmaU+HCKRv46mZx8QJv2GetcS+2F9oJeZ V5Yb6vZc+e/PldD3eVLNPLsAlSX2eKE8ecjaY429vuzoaELQXk/9fnpI3EwhduwQ kmcUQ5zZ56yFo0tA+Ym6ksaGi/tMSUlPwZuvV/B/iS9vMXN7hcZr9eYmNey/vJuj R2c4QCey+R8= =/wxG -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Nov 12 14:55:23 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 12 Nov 2003 14:55:23 -0200 Subject: [SECURITY-L] CAIS-Alerta: Patch Acumulativo para o Internet Explorer (824145) Message-ID: <20031112165522.GG5176@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Patch Acumulativo para o Internet Explorer (824145) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 12 Nov 2003 10:01:31 -0200 (BRDT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta divulgado pela Microsoft, "Microsoft Security Bulletin MS03-048: Cumulative Security Update for Internet Explorer (824145)", que trata de cinco vulnerabilidades identificadas no Internet Explorer, capazes de permitir ao atacante executar código arbitrário. Ressalta-se que o patch divulgado é acumulativo, ou seja, inclui todas as correções disponibilizadas anteriormente para o Internet Explorer 5.01, Internet Explorer 5.5 e Internet Explorer 6.0, alem de corrigir as cinco vulnerabilidades tratadas neste alerta. Sistemas Afetados: . Microsoft Windows 98 . Microsoft Windows 98 Second Edition . Microsoft Windows Millennium Edition . Microsoft Windows NT® Workstation 4.0 Service Pack 6a . Microsoft Windows NT Server 4.0 Service Pack 6a . Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6 . Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 . Microsoft Windows XP, Microsoft Windows XP Service Pack 1 . Microsoft Windows XP 64-Bit Edition . Microsoft Windows XP 64-Bit Edition Version 2003 . Microsoft Windows Server® 2003 . Microsoft Windows Server 2003, 64-Bit Edition Componentes Afetados: . Internet Explorer 6 Service Pack 1 . Internet Explorer 6 Service Pack 1 (64-Bit Edition) . Internet Explorer 6 Service Pack 1 for Windows Server 2003 . Internet Explorer 6 Service Pack 1 for Windows Server 2003(64-Bit Edition) . Internet Explorer 6 . Internet Explorer 5.5 Service Pack 2 . Internet Explorer 5.01 Service Pack 4 . Internet Explorer 5.01 Service Pack 3 . Internet Explorer 5.01 Service Pack 2 Correções disponíveis: A correção consiste na aplicação dos correspondentes patches recomendados pela Microsoft e disponíveis em: . Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=9D8543E9-0E2B-46C9-B6C6-12DE03860465&displaylang=en . Internet Explorer 6 Service Pack 1 (64-Bit Edition) http://www.microsoft.com/downloads/details.aspx?FamilyId=35F99CF5-3629-4E0E-BF60-24845D2D20C9&displaylang=en . Internet Explorer 6 Service Pack 1 for Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId=7D0D02DD-8940-48E0-B163-3FCDCB558F21&displaylang=en . Internet Explorer 6 Service Pack 1 for Windows Server 2003(64-Bit Edition) http://www.microsoft.com/downloads/details.aspx?FamilyId=8BEFA1EC-0C48-4B65-989D-58B0CE1E6F95&displaylang=en . Internet Explorer 6 http://www.microsoft.com/downloads/details.aspx?FamilyId=4C4D22F0-FBF7-4EA6-9CC2-27D104D4198E&displaylang=en . Internet Explorer 5.5 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=E438AFD4-DF70-448C-8925-1075C8BE6C5E&displaylang=en . Internet Explorer 5.01 Service Pack 4 http://www.microsoft.com/downloads/details.aspx?FamilyId=C15E2DB3-14E2-43A4-A1A1-676374B66517&displaylang=en . Internet Explorer 5.01 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=F4853D8F-F66C-4D8A-9979-3B4F540F90A8&displaylang=en . Internet Explorer 5.01 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=221616D4-5893-4DA4-A223-B0DE548D6D83&displaylang=en Maiores detalhes sobre medidas de contorno (workarounds), perguntas mais frequentes, ou ainda sobre outras recomendacoes tecnicas para instalacao dos updates, recomenda-se consultar o alerta original da Microsoft. Maiores informações: . Microsoft Security Bulletin MS03-048 http://www.microsoft.com/technet/security/bulletin/ms03-048.asp . Microsoft Windows Security Bulletin Summary for November, 2003 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/winnov03.asp . What You Should Know About the Windows Security Updates for November 2003 http://www.microsoft.com/security/security_bulletins/20031111_windows.asp Identificadores do CVE: CAN-2003-0814, CAN-2003-0815, CAN-2003-0816, CAN-2003-0817, CAN-2003-0823 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft a atualizarem seus sistemas com urgencia, devido a criticidade do presente alerta. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ - -------------------------------------------------------------------- Title: Microsoft Windows Security Bulletin Summary for November 2003 Issued: November 11, 2003 Version Number: 1.0 Bulletin: http://www.microsoft.com/technet/security/bulletin/winnov03.asp - -------------------------------------------------------------------- ** Critical Security Bulletins MS03-048 - Cumulative Update for Internet Explorer (824145) - Affected Software: - Microsoft Windows Millennium Edition - Microsoft Windows NT Workstation 4.0, Service Pack 6a - Microsoft Windows NT Server 4.0, Service Pack 6a - Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 - Microsoft Windows 2000 Service Pack 2, Service Pack 3, and Service Pack 4 - Microsoft Windows XP, Microsoft Windows XP Service Pack 1 - Microsoft Windows XP 64-Bit Edition - Microsoft Windows XP 64-Bit Edition Version 2003 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 64 bit Edition - Impact: Remote Code Execution - Version Number: 1.0 Patch Availability: =================== Patches are available to fix these vulnerabilities. For a11itional information, including Technical Details, Workarounds, answers to Frequently Asked Questions, and Patch Deployment Information please read the Microsoft Windows Security Bulletin Summary for November 2003 at: http://www.microsoft.com/technet/security/bulletin/winnov03.asp Acknowledgments: ================ Microsoft thanks the following for working with us to protect customers: - - jelmer (jkuperus em planet.nl) for reporting the issue described in MS03-048. - - eEye Digital Security (http://www.eeye.com/) for reporting the issue described in MS03-049. - - Brett Moore of Security-Assessment.com (http://www.security-assessment.com/) for reporting the issue described in MS03-051. Support: ======== Technical support is available from Microsoft Product Support Services at 1-866-PCSAFETY (1-866-727-2338). There is no charge for support calls associated with security patches. International customers can get support from their local Microsoft subsidiaries. There is no charge for support associated with security updates. Information on how to contact Microsoft support is available at http://support.microsoft.com/common/international.aspx. Revisions: ========== * V1.0 November 2003: Bulletin Created. ******************************************************************** Protect your PC: Microsoft has provided information on how you can help protect your PC at the following locations: http://www.microsoft.com/technet/security/tips/pcprotec.asp If you receive an e-mail that claims to be distributing a Microsoft security patch, it is a hoax that may be distributing a virus. Microsoft does not distribute security patches via e-mail. You can learn more about Microsoft's software distribution policies here: http://www.microsoft.com/technet/security/policy/swdist.asp ******************************************************************** - -------------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. - -------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP7IhI+kli63F4U8VAQGkHwP/V58ytsJ24z1wtjKUyVBw7LOlRJ3a4yNt zHsKYMWL5LjNFwigEhmBT8n8AX2Do6Nexgb5arOwmUr7lXMQDJLVWPk/bT0Agf39 QqL1sAjyizmoEn2hm3L4ePf2W+5sebkSXkdFbAiQiMKJBtsg8ODNwUGP6Edc905Z CzU+M83++Uo= =Ew7m -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Nov 12 14:55:41 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 12 Nov 2003 14:55:41 -0200 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Workstation Service (828749) Message-ID: <20031112165541.GH5176@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Workstation Service (828749) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 12 Nov 2003 10:18:04 -0200 (BRDT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta divulgado pela Microsoft, "Microsoft Security Bulletin MS03-049: Buffer Overrun in the Workstation Service Could Allow Code Execution (828749)", tratando de vulnerabilidade identificada no Workstation Service capaz de permitir ao atacante executar código arbitrário. O Workstation Service determina onde dado recurso esta´ alocado e encaminha as requisicoes correspondentes para o sistema local ou para os componentes da rede. Assim, tanto as requisicoes ao sistema de arquivos local, quanto aquelas de arquivos armazenados remotamente ou impressoes via rede, sao encaminhadas pelo Workstation Service. Maiores detalhes podem ser obtidos em: http://www.microsoft.com/technet/prodtechnol/winntas/reskit/net/chptr1.asp Sistemas Afetados: . Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 . Microsoft Windows XP, Microsoft Windows XP Service Pack 1 . Microsoft Windows XP 64-Bit Edition Observacao: As correcoes referentes ao Windows XP consideradas no alerta MS03-043 (828035) incluem correcoes para a vulnerabilidade tratada no presente alerta. Logo, os administradores de sistemas Windows XP que aplicaram as correcoes do MS03-043, nao precisam aplicar as correcoes deste alerta. O mesmo *nao* ocorre para o Windows 2000. Sistemas Não Afetados: . Microsoft Windows NT Workstation 4.0, Service Pack 6a . Microsoft Windows NT Server 4.0, Service Pack 6a . Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 . Microsoft Windows Millennium Edition . Microsoft Windows XP 64-Bit Edition Version 2003 . Microsoft Windows Server 2003 . Microsoft Windows Server 2003 64-Bit Edition Correções disponíveis: A correção consiste na aplicação dos correspondentes patches recomendados pela Microsoft e disponíveis em: . Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 http://www.microsoft.com/downloads/details.aspx?FamilyId=2467FE46-D167-479C-9638-D4D79483F261&displaylang=en . Microsoft Windows XP, Microsoft Windows XP Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en . Microsoft Windows XP 64-Bit Edition http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE95254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en Para maiores detalhes sobre medidas de contorno (workarounds), perguntas mais frequentes, ou ainda, sobre outras recomendacoes tecnicas para instalacao dos updates, recomenda-se consultar o alerta original da Microsoft. Maiores informações: . Microsoft Security Bulletin MS03-049 http://www.microsoft.com/technet/security/bulletin/MS03-049.asp . Microsoft Windows Security Bulletin Summary for November, 2003 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/winnov03.asp . What You Should Know About the Windows Security Updates for November 2003 http://www.microsoft.com/security/security_bulletins/20031111_windows.asp Identificador do CVE: CAN-2003-0812 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft a atualizarem seus sistemas com urgencia, devido a criticidade do presente alerta. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ - -------------------------------------------------------------------- Title: Microsoft Windows Security Bulletin Summary for November 2003 Issued: November 11, 2003 Version Number: 1.0 Bulletin: http://www.microsoft.com/technet/security/bulletin/winnov03.asp - -------------------------------------------------------------------- Summary: ======== Included in this advisory are three updates describing newly discovered vulnerabilities in Microsoft Windows. These vulnerabilities, broken down by severity are: ** Critical Security Bulletins MS03-049 - Buffer Overrun in the Workstation Service Could Allow Code Execution (828749) - Affected Software: - Microsoft Windows 2000 Service Pack 2, Service Pack 3, and Service Pack 4 - Microsoft Windows XP, Microsoft Windows XP Service Pack 1 - Microsoft Windows XP 64-Bit Edition - Impact: Remote Code Execution - Version Number: 1.0 Patch Availability: =================== Patches are available to fix these vulnerabilities. For a11itional information, including Technical Details, Workarounds, answers to Frequently Asked Questions, and Patch Deployment Information please read the Microsoft Windows Security Bulletin Summary for November 2003 at: http://www.microsoft.com/technet/security/bulletin/winnov03.asp Acknowledgments: ================ Microsoft thanks the following for working with us to protect customers: - - jelmer (jkuperus em planet.nl) for reporting the issue described in MS03-048. - - eEye Digital Security (http://www.eeye.com/) for reporting the issue described in MS03-049. - - Brett Moore of Security-Assessment.com (http://www.security-assessment.com/) for reporting the issue described in MS03-051. Support: ======== Technical support is available from Microsoft Product Support Services at 1-866-PCSAFETY (1-866-727-2338). There is no charge for support calls associated with security patches. International customers can get support from their local Microsoft subsidiaries. There is no charge for support associated with security updates. Information on how to contact Microsoft support is available at http://support.microsoft.com/common/international.aspx. Revisions: ========== * V1.0 November 2003: Bulletin Created. ******************************************************************** Protect your PC: Microsoft has provided information on how you can help protect your PC at the following locations: http://www.microsoft.com/technet/security/tips/pcprotec.asp If you receive an e-mail that claims to be distributing a Microsoft security patch, it is a hoax that may be distributing a virus. Microsoft does not distribute security patches via e-mail. You can learn more about Microsoft's software distribution policies here: http://www.microsoft.com/technet/security/policy/swdist.asp ******************************************************************** - -------------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. - -------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP7IlBOkli63F4U8VAQFu2wP8CuM8eix57Zcc7HT4du1dBSvTK6V7PvEP L5xwAKuZK9DARi/8pex5HP0z2/FbJSUJHfaj+TowyiYvQR/J2bW7ME76quR0vie0 qJtyQQzhBXdteH+kP0mEhNJ7M99MftmcH9RVsjq2uS7yZtyZGTvcfNG9rusu5ipQ JU/hOwYNNno= =om2+ -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Nov 12 14:56:02 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 12 Nov 2003 14:56:02 -0200 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Microsoft FrontPage Server Extensions (813360) Message-ID: <20031112165601.GI5176@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Microsoft FrontPage Server Extensions (813360) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 12 Nov 2003 10:44:50 -0200 (BRDT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta divulgado pela Microsoft, "Microsoft Security Bulletin MS03-051: Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360)", tratando de duas vulnerabilidades identificadas no FrontPage Server Extensions, sendo a mais critica capaz de permitir ao atacante executar código arbitrário no sistema do usuario. O FrontPage Server Extensions (FPSE) e´ um conjunto de ferramentas que podem ser instaladas em um web site a fim de desempenhar basicamente duas funcoes: . permitir que pessoas autorizadas gerenciem o servidor, incluindo ou alterando conteudo, alem de outras tarefas; . adicionar funcoes que sao frequentemente usadas em Web pages, tais como suporte a formularios e ferramentas de busca. Maiores informacoes sobre o FPSE podem ser obtidas em: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnservext/html/fpovrw.asp Sistemas Afetados: . Microsoft Windows 2000 Service Pack 2, Service Pack 3 . Microsoft Windows XP, Microsoft Windows XP Service Pack 1 . Microsoft Office XP, Microsoft Office XP Service Release 1 Sistemas Não Afetados: . Microsoft Windows Millennium Edition . Microsoft Windows NT Workstation 4.0, Service Pack 6a . Microsoft Windows NT Server 4.0, Service Pack 6a . Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 . Microsoft Windows 2000 Service Pack 4 . Microsoft Windows XP 64-Bit Edition Version 2003 . Microsoft Windows Server 2003 (Windows SharePoint Services) . Microsoft Windows Server 2003 64-Bit Edition (Windows SharePoint Services) . Microsoft Office System 2003 Componentes Afetados: . Microsoft FrontPage Server Extensions 2000 . Microsoft FrontPage Server Extensions 2000 (distribuido com o Windows 2000) . Microsoft FrontPage Server Extensions 2000 (distribuido com o Windows XP) . Microsoft FrontPage Server Extensions 2002 . Microsoft SharePoint Team Services 2002 (distribuido com o Office XP) Correções disponíveis: A correção consiste na aplicação dos correspondentes patches recomendados pela Microsoft e disponíveis em: . Microsoft FrontPage Server Extensions 2000 http://www.microsoft.com/downloads/details.aspx?FamilyId=C84C3D10-A821-4819-BF58-D3BC70A77BFA&displaylang=en . Microsoft FrontPage Server Extensions 2000 (distribuido com o Windows 2000) http://www.microsoft.com/downloads/details.aspx?FamilyId=057D5F0E-0E2B-47D2-9F0F-3B15DD8622A2&displaylang=en . Microsoft FrontPage Server Extensions 2000 (distribuido com o Windows XP) http://www.microsoft.com/downloads/details.aspx?FamilyId=9B302532-BFAB-489B-82DC-ED1E49A16E1C&displaylang=en . Microsoft FrontPage Server Extensions 2002 http://www.microsoft.com/downloads/details.aspx?FamilyId=3E8A21D9-708E-4E69-8299-86C49321EE25&displaylang=en . Microsoft SharePoint Team Services 2002 (distribuido com o Office XP) http://www.microsoft.com/downloads/details.aspx?FamilyId=5923FC2F-D786-4E32-8F15-36A1C9E0A340&displaylang=en Para maiores detalhes sobre medidas de contorno (workarounds), perguntas mais frequentes, ou ainda, sobre outras recomendacoes tecnicas para instalacao das correcoes, recomenda-se consultar o alerta original da Microsoft. Maiores informações: . Microsoft Security Bulletin MS03-051 http://www.microsoft.com/technet/security/bulletin/MS03-051.asp . Microsoft Windows Security Bulletin Summary for November, 2003 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/winnov03.asp . What You Should Know About the Windows Security Updates for November 2003 http://www.microsoft.com/security/security_bulletins/20031111_windows.asp Identificadores do CVE: CAN-2003-0822, CAN-2003-0824 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft a atualizarem seus sistemas com urgencia, devido a criticidade do presente alerta. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ - -------------------------------------------------------------------- Title: Microsoft Windows Security Bulletin Summary for November 2003 Issued: November 11, 2003 Version Number: 1.0 Bulletin: http://www.microsoft.com/technet/security/bulletin/winnov03.asp - -------------------------------------------------------------------- Summary: ======== Included in this advisory are three updates describing newly discovered vulnerabilities in Microsoft Windows. These vulnerabilities, broken down by severity are: ** Critical Security Bulletins MS03-051 - Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360) - Affected Software: - Microsoft Windows 2000 Service Pack 2, Service Pack 3 - Microsoft Windows XP, Microsoft Windows XP Service Pack 1 - Microsoft Office XP, Microsoft Office Service Release 1 - Impact: Remote Code Execution - Version Number: 1.0 Patch Availability: =================== Patches are available to fix these vulnerabilities. For a11itional information, including Technical Details, Workarounds, answers to Frequently Asked Questions, and Patch Deployment Information please read the Microsoft Windows Security Bulletin Summary for November 2003 at: http://www.microsoft.com/technet/security/bulletin/winnov03.asp Acknowledgments: ================ Microsoft thanks the following for working with us to protect customers: - - jelmer (jkuperus em planet.nl) for reporting the issue described in MS03-048. - - eEye Digital Security (http://www.eeye.com/) for reporting the issue described in MS03-049. - - Brett Moore of Security-Assessment.com (http://www.security-assessment.com/) for reporting the issue described in MS03-051. Support: ======== Technical support is available from Microsoft Product Support Services at 1-866-PCSAFETY (1-866-727-2338). There is no charge for support calls associated with security patches. International customers can get support from their local Microsoft subsidiaries. There is no charge for support associated with security updates. Information on how to contact Microsoft support is available at http://support.microsoft.com/common/international.aspx. Revisions: ========== * V1.0 November 2003: Bulletin Created. ******************************************************************** Protect your PC: Microsoft has provided information on how you can help protect your PC at the following locations: http://www.microsoft.com/technet/security/tips/pcprotec.asp If you receive an e-mail that claims to be distributing a Microsoft security patch, it is a hoax that may be distributing a virus. Microsoft does not distribute security patches via e-mail. You can learn more about Microsoft's software distribution policies here: http://www.microsoft.com/technet/security/policy/swdist.asp ******************************************************************** - -------------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. - -------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP7IrTOkli63F4U8VAQFSOgQAj8LfYib8rsr77O5xMngAQPEMwXhJR1Ng u06SeXPg+EdfGFDmPddPJ1DVghv5WNxm0RbdI89zVLNHGNFel556wG3gf+y6InQ4 lTkiLT0gyyQoR86eG1QM+V161MYkM3tErP8abPjDylj+1JY8jqOMybJrfNxqycEy Hk1svsiaRpU= =cmEX -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Nov 12 14:56:21 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 12 Nov 2003 14:56:21 -0200 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidades no Microsoft Word e Excel (831527) Message-ID: <20031112165620.GJ5176@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidades no Microsoft Word e Excel (831527) To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 12 Nov 2003 11:15:34 -0200 (BRDT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta divulgado pela Microsoft, "Microsoft Security Bulletin MS03-050: Vulnerability in Microsoft Word and Microsoft Excel Could Allow Arbitrary Code to Run (831527)", tratando de uma vulnerabilidade identificada no Microsoft Word e outra no Microsoft Excel, ambas capazes de permitir ao atacante executar codigo malicioso. Sistemas Afetados: . Microsoft Excel 97 . Microsoft Excel 2000 . Microsoft Excel 2002 . Microsoft Word 97 . Microsoft Word 98(J) . Microsoft Word 2000 and Microsoft Works Suite 2001 . Microsoft Word 2002, Microsoft Works Suite 2002, Microsoft Works Suite 2003, and Microsoft Works Suite 2004 Sistemas Não Afetados: . Microsoft Office Word 2003 . Microsoft Office Excel 2003 Correções disponíveis: A correção consiste na aplicação dos correspondentes patches recomendados pela Microsoft e disponíveis em: . Microsoft Excel 97 http://www.microsoft.com/downloads/details.aspx?FamilyId=927F8F0C-DB5A-4601-A628-2C3A1ED5D51B&displaylang=en . Microsoft Excel 2000 http://www.microsoft.com/downloads/details.aspx?FamilyId=9904B2A6-0CF0-4CF2-AAE0-062BDD7417D5&displaylang=en . Microsoft Excel 2002 http://www.microsoft.com/downloads/details.aspx?FamilyId=FAB7259D-80B2-40E6-A235-581617287560&displaylang=en . Microsoft Word 97 http://www.microsoft.com/downloads/details.aspx?FamilyId=5261EF7F-CC89-403C-949F-5F423E68C7AF&displaylang=en . Microsoft Word 98(J) http://www.microsoft.com/downloads/details.aspx?FamilyId=75B9C39D-E6BD-4CE4-BD89-6F7B5AF2BDB1&displaylang=ja . Microsoft Word 2000 and Microsoft Works Suite 2001 http://www.microsoft.com/downloads/details.aspx?FamilyId=D2BD626E-401B-4FC7-BBAC-2C6B6E66D984&displaylang=en . Microsoft Word 2002, Microsoft Works Suite 2002, Microsoft Works Suite 2003, and Microsoft Works Suite 2004 http://www.microsoft.com/downloads/details.aspx?FamilyId=B9B4E491-0B33-423A-8FEE-27059A29B604&displaylang=en Para maiores detalhes sobre medidas de contorno (workarounds), perguntas mais frequentes, ou ainda, sobre outras recomendacoes tecnicas para instalacao das correcoes, recomenda-se consultar o alerta original da Microsoft. Maiores informações: . Microsoft Security Bulletin MS03-050 http://www.microsoft.com/technet/security/bulletin/MS03-050.asp . Microsoft Office Security Bulletin Summary for November 2003 http://www.microsoft.com/technet/security/bulletin/offnov03.asp . What You Should Know About the Windows Security Updates for November 2003 http://www.microsoft.com/security/security_bulletins/20031111_windows.asp Identificadores do CVE: CAN-2003-0820, CAN-2003-0821 (http://cve.mitre.org) O CAIS recomenda aos administradores de plataformas Microsoft e usuarios dos aplicativos Word e Excel, a atualizarem seus sistemas de acordo com as recomendacoes do fabricante. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ - -------------------------------------------------------------------- Title: Microsoft Office Security Bulletin Summary for November 2003 Issued: November 11, 2003 Version Number: 1.0 Bulletin: http://www.microsoft.com/technet/security/bulletin/offnov03.asp - -------------------------------------------------------------------- Summary: ======== Included in this advisory is an update describing newly discovered vulnerabilities in Microsoft Office (Microsoft Word and Excel). These vulnerabilities, broken down by severity are: ** Important Security Bulletins MS03-050 - Vulnerabilities in Microsoft Word and Microsoft Excel Could Allow Arbitrary Code to run (831527) - Affected Software: - Microsoft Excel 97 - Microsoft Excel 2000 - Microsoft Excel 2002 - Microsoft Word 97 - Microsoft Word 98(J) - Microsoft Word 2000, Microsoft Works Suite 2001 - Microsoft Word 2002, Microsoft Works Suite 2002, Microsoft Works Suite 2003 and Microsoft Works Suite 2004 - Impact: Remote Code Execution - Version Number: 1.0 Patch Availability: =================== Patches are available to fix these vulnerabilities. For additional information, including Technical Details, Workarounds, answers to Frequently Asked Questions, and Patch Deployment Information please read the Microsoft Office Security Bulletin Summary for November 2003 at: http://www.microsoft.com/technet/security/bulletin/offnov03.asp Acknowledgments: ================ Microsoft thanks the following for working with us to protect customers: - - Kazuyuki Housaka for reporting the Excel issue described in MS03-050. Support: ======== Technical support is available from Microsoft Product Support Services at 1-866-PCSAFETY (1-866-727-2338). There is no charge for support calls associated with security patches. International customers can get support from their local Microsoft subsidiaries. There is no charge for support associated with security updates. Information on how to contact Microsoft support is available at http://support.microsoft.com/common/international.aspx. Revisions: ========== * V1.0 November 2003: Bulletin Created. ******************************************************************** Protect your PC: Microsoft has provided information on how you can help protect your PC at the following locations: http://www.microsoft.com/technet/security/tips/pcprotec.asp If you receive an e-mail that claims to be distributing a Microsoft security patch, it is a hoax that may be distributing a virus. Microsoft does not distribute security patches via e-mail. You can learn more about Microsoft's software distribution policies here: http://www.microsoft.com/technet/security/policy/swdist.asp ******************************************************************** - -------------------------------------------------------------------- THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. - -------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP7Iye+kli63F4U8VAQFJnwP/WdarNgFLtBGOO1e66QVxZVQ9RKgrAp8j x1jw3xczvJgDhiDxh6M39K2o244KCmOuGvd8iB37YoY5i+baqqYQfkZsC//D7G2e 8tqIdOa/0KmDOcGRX9lD7AWK6eY/wfKlIVbtLIplayK332cU7sXtmnR+sM/X3r5n 6f0xHAREqeY= =y1pE -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Nov 12 14:56:41 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 12 Nov 2003 14:56:41 -0200 Subject: [SECURITY-L] CAIS-Alerta: CA-2003-28 Buffer Overflow no Windows Workstation Service Message-ID: <20031112165641.GK5176@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: CA-2003-28 Buffer Overflow no Windows Workstation Service To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 12 Nov 2003 11:46:39 -0200 (BRDT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta divulgado pelo CERT/CC, "CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service", relacionado ao alerta divulgado pela Microsoft "Microsoft Security Bulletin MS03-049: Buffer Overrun in the Workstation Service Could Allow Code Execution (828749)". A vulnerabilidade tema dos referidos alertas foi identificada no Workstation Service e pode permitir ao atacante executar código arbitrário. Para obter explicacoes e informacoes sobre as correcoes recomendadas pela Microsoft, em portugues, recomenda-se consultar o alerta divulgado pelo CAIS sobre este assunto, disponivel em: http://www.rnp.br/cais/alertas/2003/MS03-049.html Para maiores detalhes sobre medidas de contorno (workarounds), perguntas mais frequentes, ou ainda, sobre outras recomendacoes tecnicas para instalacao dos updates, recomenda-se consultar o alerta original da Microsoft, disponivel em: http://www.microsoft.com/technet/security/bulletin/MS03-049.asp O CAIS reitera a necessidade de atualizar os sistemas vulneraveis com urgencia, devido a criticidade do presente alerta. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service Original release date: November 11, 2003 Last revised: -- Source: CERT/CC A complete revision history is at the end of this file. Systems Affected * Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4 * Microsoft Windows XP * Microsoft Windows XP Service Pack 1 * Microsoft Windows XP 64-Bit Edition Overview A buffer overflow vulnerability exists in Microsoft's Windows Workstation Service (WKSSVC.DLL). A remote attacker could exploit this vulnerability to execute arbitrary code or cause a denial of service. I. Description Microsoft's Security Bulletin MS03-049 discusses a buffer overflow in Microsoft's Workstation Service that can be exploited via a specially crafted network message. According to the eEye Digital Security Advisory AD20031111, the vulnerability is caused by a flaw in the network management functions of the DCE/RPC service and a logging function implemented in Workstation Service (WKSSVC.DLL). Various RPC functions will permit the passing of long strings to the vsprintf() routine that is used to create log entries. The vsprintf() routine contains no bounds checking for parameters thus creating a buffer overflow situation. The CERT/CC is tracking this issue as VU#567620. This reference number corresponds to CVE candidate CAN-2003-0812. II. Impact A remote attacker could exploit this vulnerability to execute arbitrary code with system-level privileges or to cause a denial of service. The exploit vector and impact for this vulnerability are conducive to automated attacks such as worms. III. Solution Apply a patch from your vendor Apply the appropriate patch as specified in Microsoft Security Bulletin MS03-049. Appendix A contains additional information provided by vendors for this advisory. As vendors report new information to the CERT/CC, we will update this section and note the changes in our revision history. If a particular vendor is not listed below or in the individual vulnerability notes, we have not received their comments. Please contact your vendor directly. Restrict access You may wish to block access from outside your network perimeter, specifically by blocking access to TCP & UDP ports 138, 139, and 445. This will limit your exposure to attacks. However, blocking at the network perimeter would still allow attackers within the perimeter of your network to exploit the vulnerability. It is important to understand your network's configuration and service requirements before deciding what changes are appropriate. Disable the Workstation Service Depending on site requirements, you may wish to disable the Workstation Service as described in MS03-049. Disabling the Workstation Service will help protect against this vulnerability, but may also cause undesirable side effects. According to the Microsoft's Security Bulletin, the impacts of disabling the Workstation Service are as follows: "If the Workstation service is disabled, the system cannot connect to any shared file resources or shared print resources on a network. Only use this workaround on stand-alone systems (such as many home systems) that do not connect to a network. If the Workstation service is disabled, any services that explicitly depend on the Workstation service do not start, and an error message is logged in the system event log. The following services depend on the Workstation service: * Alerter * Browser * Messenger * Net Logon * RPC Locator These services are required to access resources on a network and to perform domain authentication. Internet connectivity and browsing for stand-alone systems, such as users on dial-up connections, on DSL connections, or on cable modem connections, should not be affected if these services are disabled. Note: The Microsoft Baseline Security Analyzer will not function if the Workstation service is disabled. It is possible that other applications may also require the Workstation service. If an application requires the Workstation service, simply re-enable the service. This can be performed by changing the Startup Type for the Workstation service back to Automatic and restarting the system." Appendix A. - Vendor Information This appendix contains information provided by vendors for this advisory. As vendors report new information to the CERT/CC, we will update this section and note the changes in our revision history. If a particular vendor is not listed below or in the individual vulnerability notes, we have not received their comments. Microsoft Corporation Microsoft has released MS03-049. _________________________________________________________________ This vulnerability was discoved by eEye Digital Security and reported in Microsoft Security Bulletin MS03-049. _________________________________________________________________ Author: Jason A Rafail. ______________________________________________________________________ This document is available from: http://www.cert.org/advisories/CA-2003-28.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright 2003 Carnegie Mellon University. Revision History Nov 11, 2003: Initial release -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP7I5xekli63F4U8VAQEtjQQAqIRZ8XXKWR/UFj62ivZdhjSn7SUVb75C aS394DqyonVymrhAML02LAqGugB3OraeK8Ym0uaT41qVncB/P2t6c4Xa4q+mjG0B ZnblUbjAlVx2kBJw1z3UB24V/x3uJ7W3X8TofKCozHTPt/2PFh/FUplfBoilgXbb c910OL6MyqY= =dMY3 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Nov 13 15:17:41 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 13 Nov 2003 15:17:41 -0200 Subject: [SECURITY-L] Disponivel nova versao do browser Opera para Linux Message-ID: <20031113171741.GB953@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: DisponXvel nova versXo do browser Opera para Linux To: security em unicamp.br Date: Thu, 13 Nov 2003 10:24:15 -0300 (ART) Disponível nova versão do browser Opera para Linux Foi lançada a nova versão 7.22 do browser Opera para Linux. Para ver screenshots ou ler a documentação acesse: http://www.opera.com/products/desktop/index.dml?platform=linux Link para download da nova versão: ftp://ftp.opera.com/pub/opera/linux/721/final/en/i386/static/opera-7.22-20031013.1-static-qt.i386. Fonte: NoticiasLinux.com.br ----- End forwarded message ----- From security em unicamp.br Thu Nov 13 15:17:06 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Thu, 13 Nov 2003 15:17:06 -0200 Subject: [SECURITY-L] LG postou um Firmware para corrigir erros com Mandrake 9.2 Message-ID: <20031113171706.GA953@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: LG postou um Firmware para corrigir erros com Mandrake 9.2 To: security em unicamp.br Date: Thu, 13 Nov 2003 11:27:21 -0300 (ART) LG postou um Firmware para corrigir erros com Mandrake 9.2 http://www.linuxrapido.linuxdicas.com.br/modules.php?name=News&file=article&sid=329 luccosta Enviou "Parece que a Lg efetuou a correção do Firmware para o Mandrake 9.2. Caso você esteja aguardando esta correção basta acessar o site da LG(http://us.lgservice.com/) e siga algumas instruções: click no icone Device Driver click no link CD-ROM. Execute os passos indicados pelo fabricante e boa instalação do MDK 9.2 ----- End forwarded message ----- From security em unicamp.br Fri Nov 14 09:51:04 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 14 Nov 2003 09:51:04 -0200 Subject: [SECURITY-L] mod_security 1.7.3 Message-ID: <20031114115104.GA2172@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: mod_security 1.7.3 To: security em unicamp.br Date: Thu, 13 Nov 2003 18:36:28 -0300 (ART) mod_security 1.7.3 Enviado em: Thursday, November 13 @ 12:54:26 EDT http://www.linuxsecurity.com.br/article.php?sid=8041&mode=thread&order=0 Mod_security é um módulo para Apache com o propósito de proteger aplicações vulneráveis e rejeitar ataques automatizados ou não... Em adição a filtragem de requisições, o mod_security também pode criar logs completos para auditoria, incluindo detalhes de requisições... A filtragem é realizada através de expressões regulares... http://www.modsecurity.org/ ----- End forwarded message ----- From security em unicamp.br Fri Nov 14 15:13:48 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 14 Nov 2003 15:13:48 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20031114171348.GA2627@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 04/11/2003 ---------- SCO Security Advisory (CSSA-2003-SCO.24.1) Assunto: OpenServer 5.0.7: OpenSSH: multiple buffer handling problems. http://www.security.unicamp.br/docs/bugs/2003/11/v18.txt SCO Security Advisory (CSSA-2003-SCO.29) Assunto: OpenServer 5.0.5 OpenServer 5.0.6 OpenServer 5.0.7: Multiple vulnerabilities affecting several components of gwxlibs. http://www.security.unicamp.br/docs/bugs/2003/11/v20.txt 06/11/2003 ---------- SCO Security Advisory (CSSA-2003-SCO.30) Assunto: OpenServer 5.0.7 OpenServer 5.0.6 OpenServer 5.0.5: Perl cross-site scripting vulnerability. http://www.security.unicamp.br/docs/bugs/2003/11/v21.txt 07/11/2003 ---------- Debian Security Advisory (DSA 397-1) Assunto: vulnerabilidade de seguranca no pacote postgresql. http://www.security.unicamp.br/docs/bugs/2003/11/v14.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:778) Assunto: correção para o pacote net-snmp. http://www.security.unicamp.br/docs/bugs/2003/11/v15.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:779) Assunto: Vulnerabilidade de negação de serviço no pacote cups. http://www.security.unicamp.br/docs/bugs/2003/11/v17.txt SCO Security Advisory (CSSA-2003-SCO.28) Assunto: OpenServer 5.0.7 OpenServer 5.0.6 OpenServer 5.0.5: Various Apache security fixes. http://www.security.unicamp.br/docs/bugs/2003/11/v19.txt SCO Security Advisory (CSSA-2003-SCO.31) Assunto: UnixWare 7.1.3 Open UNIX 8.0.0 UnixWare 7.1.1: CDE libDtHelp buffer overflow. http://www.security.unicamp.br/docs/bugs/2003/11/v22.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:780) Assunto: Correção para vulnerabilidades do ethereal. http://www.security.unicamp.br/docs/bugs/2003/11/v23.txt SCO Security Advisory (CSSA-2003-29.0) Assunto: OpenLinux: ucd-snmp remote heap overflow. http://www.security.unicamp.br/docs/bugs/2003/11/v24.txt SCO Security Advisory (CSSA-2003-030.0) Assunto: OpenLinux: Multiple vulnerabilities have reported in Ethereal 0.9.12. http://www.security.unicamp.br/docs/bugs/2003/11/v25.txt 10/11/2003 ---------- Debian Security Advisory (DSA 398-1) Assunto: vulnerabilidade de seguranca no pacote conquest. http://www.security.unicamp.br/docs/bugs/2003/11/v26.txt Debian Security Advisory (DSA 399-1) Assunto: vulnerabilidade de seguranca no pacote epic4. http://www.security.unicamp.br/docs/bugs/2003/11/v27.txt SUSE Security Announcement (SuSE-SA:2003:045) Assunto: vulnerabilidade de seguranca no pacote hylafax. http://www.security.unicamp.br/docs/bugs/2003/11/v28.txt Red Hat Security Advisory (RHSA-2003:323-01) Assunto: Updated Ethereal packages fix security issues. http://www.security.unicamp.br/docs/bugs/2003/11/v29.txt 11/11/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:105) Assunto: vulnerabilidade de seguranca no pacote hylafax. http://www.security.unicamp.br/docs/bugs/2003/11/v30.txt Debian Security Advisory (DSA 400-1) Assunto: vulnerabilidade de seguranca no pacote omega-rpg. http://www.security.unicamp.br/docs/bugs/2003/11/v31.txt OpenPKG Security Advisory (OpenPKG-SA-2003.048) Assunto: vulnerabilidade de seguranca no pacote postgresql. http://www.security.unicamp.br/docs/bugs/2003/11/v32.txt CERT Advisory (CA-2003-28) Assunto: Buffer Overflow in Windows Workstation Service. http://www.security.unicamp.br/docs/bugs/2003/11/v33.txt Microsoft Windows Security Bulletin Summary for November 2003 http://www.security.unicamp.br/docs/bugs/2003/11/v34.txt SCO Security Advisory (CSSA-2003-SCO.32) Assunto: UnixWare 7.1.3 Open UNIX 8.0.0 UnixWare 7.1.1: Insecure handling of procfs descriptors in UnixWare can lead to local privilege escalation. http://www.security.unicamp.br/docs/bugs/2003/11/v41.txt 12/11/2003 ---------- CAIS-Alerta Assunto: Patch Acumulativo para o Internet Explorer (824145). http://www.security.unicamp.br/docs/bugs/2003/11/v36.txt CAIS-Alerta Assunto: Vulnerabilidade no Workstation Service (828749). http://www.security.unicamp.br/docs/bugs/2003/11/v37.txt CAIS-Alerta Assunto: Vulnerabilidade no Microsoft FrontPage Server Extensions (813360). http://www.security.unicamp.br/docs/bugs/2003/11/v38.txt CAIS-Alerta Assunto: Vulnerabilidades no Microsoft Word e Excel (831527). http://www.security.unicamp.br/docs/bugs/2003/11/v39.txt CAIS-Alerta Assunto: CERT CA-2003-28 Buffer Overflow no Windows Workstation Service. http://www.security.unicamp.br/docs/bugs/2003/11/v40.txt Red Hat Security Advisory (RHSA-2003:325-01) Assunto: Updated glibc packages provide security and bug fixes. http://www.security.unicamp.br/docs/bugs/2003/11/v42.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:781) Assunto: Vulnerabilidade de buffer overflow no pacote mpg123. http://www.security.unicamp.br/docs/bugs/2003/11/v43.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:782) Assunto: Correções para vazamento de memória e outros problemas no pacote xinetd. http://www.security.unicamp.br/docs/bugs/2003/11/v44.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:783) Assunto: Vulnerabilidade remota no hfaxd. http://www.security.unicamp.br/docs/bugs/2003/11/v35.txt REVISED: Microsoft Security Bulletin MS02-050 Assunto: Certificate Validation Flaw Could Enable Identity Spoofing (329115). http://www.security.unicamp.br/docs/bugs/2003/11/v16.txt Mandrake Linux Security Update Advisory (MDKSA-2003:106) Assunto: vulnerabilidade de seguranca nos pacotes fileutils/coreutils. http://www.security.unicamp.br/docs/bugs/2003/11/v45.txt 13/11/2003 ---------- Red Hat Security Advisory (RHSA-2003:307-01) Assunto: Updated zebra packages fix security vulnerabilities. http://www.security.unicamp.br/docs/bugs/2003/11/v46.txt Red Hat Security Advisory (RHSA-2003:313-00) Assunto: Updated PostgreSQL packages fix buffer overflow. http://www.security.unicamp.br/docs/bugs/2003/11/v47.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:784) Assunto: Vulnerabilidade de buffer overflow no pacote postgresql. http://www.security.unicamp.br/docs/bugs/2003/11/v48.txt Red Hat Security Advisory (RHSA-2003:325-01) Assunto: Updated glibc packages provide security and bug fixes. http://www.security.unicamp.br/docs/bugs/2003/11/v49.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Mon Nov 17 14:28:31 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 17 Nov 2003 14:28:31 -0200 Subject: [SECURITY-L] Vulnerabilidade no Sun Solaris Message-ID: <20031117162830.GA1034@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Vulnerabilidade no Sun Solaris. To: security em unicamp.br Date: Mon, 17 Nov 2003 12:52:39 -0300 (ART) Vulnerabilidade no Sun Solaris. Enviado por: Ricardo-Santos em Segunda, 17 de Novembro de 2003 - 14:01:48 (GMT) http://www.xsecurity.ws/modules.php?op=modload&name=News&file=article&sid=2004&mode=thread&order=0&thold=0&POSTNUKESID=a467a4402c999800cd426d847cc7b101 A Sun Solaris publicou um patch que corrige uma vulnerabilidade na biblioteca CDE DtHelp Library. A falha corrigida permite a escalada de privilégios de utilizadores que queiram obter mais permissões. As versões afectadas são: - Sun Solaris 9 - Sun Solaris 8 - Sun Solaris 7 Mais informações no Security T-Patch Download da Sun: http://au.sunsolve.sun.com/pub-cgi/show.pl?target=security/tpatches ----- End forwarded message ----- From security em unicamp.br Mon Nov 17 16:19:05 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Mon, 17 Nov 2003 16:19:05 -0200 Subject: [SECURITY-L] Boletins de noticias Message-ID: <20031117181905.GB1034@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e redes da Unicamp com os seguintes boletins de noticia e/ou revistas eletronicas: 10/11/2003 ---------- Módulo Security News no. 317 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/11/b4.txt 12/11/2003 ---------- SANS NewsBites Vol. 5 Num. 45 Fonte: SANS Institute http://www.security.unicamp.br/docs/informativos/2003/11/b5.txt 17/11/2003 ---------- Módulo Security News no. 318 Fonte: Módulo Security Solutions S/A http://www.security.unicamp.br/docs/informativos/2003/11/b6.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From daniela em ccuec.unicamp.br Tue Nov 18 09:30:28 2003 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 18 Nov 2003 09:30:28 -0200 Subject: [SECURITY-L] Estelionatario da Web preso em Fortaleza Message-ID: <20031118113027.GA2300@ccuec.unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] Estelionatário da Web preso em Fortaleza To: seguranca em pangeia.com.br Date: Tue, 18 Nov 2003 09:07:56 -0200 [http://redeglobo6.globo.com/JGlobo/0,19125,VTJ0-2742-20031117-16929,00.html] Foi preso hoje em Fortaleza mais um integrante da quadrilha de piratas virtuais que vinha agindo no Pará. Josenias Barbosa dos Santos, conhecido como Maninho, foi preso em um edifício em Fortaleza. O mandado de prisão veio da Justiça do Pará. É que ele é acusado de chefiar uma quadrilha de crackers, como são chamados os hackers que usam conhecimentos de informática para cometer crimes contra internautas. A quadrilha de crackers vinha sendo investigada pela Polícia Federal há um ano. O grupo começou a ser desarticulado na semana passada. Até agora, 28 pessoas foram presas, a maioria no Pará. A cidade de Parauapebas, no Pará, seria a base do grupo suspeito de roubar dinheiro de contas bancárias movimentadas pela internet. Na operação de hoje, a Polícia Federal apreendeu cds, um telefone celular e um computador, onde foram encontradas pistas do golpe, como logomarcas de bancos oficiais. Para a polícia do Ceará, os crackers agiam criando falsas páginas de bancos na internet. Com ofertas de novos serviços e promoções ficava fácil capturar senhas e informações pessoais dos clientes. Um golpe milionário contra o sistema financeiro. "Nós temos notícias de que já são mais de R$ 100 milhões", diz o delegado de Polícia Federal, Jaime de Paula Pessoa. ----- End forwarded message ----- From security em unicamp.br Tue Nov 18 09:32:56 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 18 Nov 2003 09:32:56 -0200 Subject: [SECURITY-L] Ferramentas permitem explorar falhas no Windows Message-ID: <20031118113256.GA2326@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Ferramentas permitem explorar falhas no Windows To: security em unicamp.br Date: Mon, 17 Nov 2003 14:59:13 -0300 (ART) Segunda-feira, 17 de novembro de 2003 - Número 26 Ferramentas permitem explorar falhas no Windows A Telsinc Security detectou diversas ferramentas divulgadas publicamente que exploram as vulnerabilidades divulgadas recentemente no Microsoft Windows, dando ao usuário mal intencionado acesso completo ao sistema. Dentre as ferramentas detectadas estão as que exploram as vulnerabilidades no Windows Messenger (MS03-043), Front Page Server Extensions (MS03-051) e Worksatation Service (MS03-049). Algumas delas necessitam pequenas alterações em seus códigos fontes para funcionarem corretamente, porém o mais importante é o conceito de como explorar a vulnerabilidade permitindo dessa forma a criação de ferramentas mais sofisticadas e possivelmente novos worms. A Telsinc Security recomenda a todos que façam as atualizações o mais rápido possível evitando dessa forma futuros problemas com pessoas mal intencionadas. Devemos lembrar que todas as vulnerabilidades descritas já podem ser testadas pelos profissionais da Telsinc Security desenvolvendo dessa forma testes mais completos e precisos. Maiores informações podem ser obtidas através dos endereços abaixo. [Microsoft Security Bulletin MS03-043] http://www.microsoft.com/technet/security/bulletin/MS03-043.asp [Microsoft Security Bulletin MS03-049] http://www.microsoft.com/technet/security/bulletin/MS03-049.asp [Microsoft Security Bulletin MS03-051] http://www.microsoft.com/technet/security/bulletin/MS03-051.asp [Nova falha permite execução de comandos remotamente no Windows] http://www.telsincsecurity.com.br/?menu=noticia¬id=25 ----- End forwarded message ----- From security em unicamp.br Wed Nov 19 15:02:18 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 19 Nov 2003 15:02:18 -0200 Subject: [SECURITY-L] Circula codigo que explora a vulnerabilidade MS03-049 Message-ID: <20031119170217.GA4057@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Circula cXdigo que explora a vulnerabilidade MS03-049. To: security em unicamp.br Date: Tue, 18 Nov 2003 16:49:55 -0300 (ART) Circula código que explora a vulnerabilidade MS03-049. Enviado por: Admin em Terça, 18 de Novembro de 2003 - 16:59:51 (GMT) http://www.xsecurity.ws/modules.php?op=modload&name=News&file=article&sid=2007&mode=thread&order=0&thold=0&POSTNUKESID=c185025721961a29eb3f04a440e90d0d Passado 48 horas da publicação da actualização de segurança (MS03-049) para uma falha crítica no serviço Workstation do Windows 2000 e XP, encontrava-se disponível na Internet um exploit que se aproveita da mesma. Ainda que o mesmo exploit só funcione ainda nas versões em Inglês do Windows 2000 SP4 (user32.dll 5.0.2195.6688) e SP1 (user32.dll 5.0.2195.1600), pode ser adaptado para o Windows XP e outros idiomas. A exploração do código permite que se possa executar de forma arbitrária o equipamento vulnerável, ou provocar uma Negação de Serviço no mesmo. O exploit mencionado, até ao momento, apenas provoca o bloqueio do serviço "services.exe" (aplicação de serviços e controlador dos mesmos nos Windows 2000 e XP). A Microsoft publicou o boletim MS03-049 para solucionar a falha no dia 11 do corrente mês e uma actualização do mesmo passado 3 dias. A falha propriamente dita é provocada nas funções de administração de rede do serviço DCE/RPC e numa função de inicio de sessão implementada no serviço de Workstation. Recomenda-se aos administradores que verifiquem se os seus sistemas estão vulneráveis, procedendo com as actualizações conforme orientação do fabricante com a maior urgência possível. Mais informações: Attack code surfaces for latest Windows vulnerability. http://pcworld.idg.com.au/index.php?id=554435818 Microsoft Security Bulletin MS03-049 Buffer Overrun in the Workstation Service Could Allow Code Execution (828749) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp Microsoft lança actualizações de segurança para Office e Windows. http://www.xsecurity.ws/modules.php?op=modload&name=News&file=article&sid=2000&mode=thread&order=0&thold=-1 ----- End forwarded message ----- From security em unicamp.br Wed Nov 19 15:03:02 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 19 Nov 2003 15:03:02 -0200 Subject: [SECURITY-L] PostgreSQL 7.4 Message-ID: <20031119170301.GB4057@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: PostgreSQL 7.4 To: security em unicamp.br Date: Tue, 18 Nov 2003 16:57:40 -0300 (ART) PostgreSQL 7.4 Foi lançada hoje a versão final do SGBD PostgreSQL. A nova versão chega com diversas melhorias e novos recursos, entre eles o suporte ao Opteron da AMD. Além disso, melhorias significantes em perfomance e alta disponibilidade foram implementadas. Veja lista completa em: http://www.postgresql.org/presskit/br/presskit74.html . Fonte: NoticiasLinux.com.br ----- End forwarded message ----- From security em unicamp.br Wed Nov 19 16:32:48 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 19 Nov 2003 16:32:48 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20031119183247.GA4477@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 17/11/2003 ---------- SCO Security Advisory (CSSA-2003-034.0) Assunto: OpenLinux: Key validity bug in GnuPG 1.2.1 and earlier. http://www.security.unicamp.br/docs/bugs/2003/11/v53.txt SCO Security Advisory (CSSA-2003-035.0) Assunto: OpenLinux: Webmin/Usermin Session ID Spoofing Vulnerability. http://www.security.unicamp.br/docs/bugs/2003/11/v54.txt SCO Security Advisory (CSSA-2003-036.0) Assunto: OpenLinux: Sendmail prescan remotely exploitable vulnerability. http://www.security.unicamp.br/docs/bugs/2003/11/v55.txt SCO Security Advisory (CSSA-2003-037.0) Assunto: OpenLinux: Linux NFS utils package contains remotely exploitable off-by-one bug. http://www.security.unicamp.br/docs/bugs/2003/11/v56.txt Red Hat Security Advisory (RHSA-2003:288-01) Assunto: Updated XFree86 packages provide security and bug fixes. http://www.security.unicamp.br/docs/bugs/2003/11/v58.txt 18/11/2003 ---------- SUSE Security Announcement (SuSE-SA:2003:046) Assunto: vulnerabilidade de seguranca no pacote sane. http://www.security.unicamp.br/docs/bugs/2003/11/v57.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br From security em unicamp.br Tue Nov 25 10:35:19 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 25 Nov 2003 10:35:19 -0200 Subject: [SECURITY-L] Protesto indigena para telefone e internet Message-ID: <20031125123510.GA318@unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] Protesto indígena pára telefone e internet To: seguranca em pangeia.com.br Date: Wed, 19 Nov 2003 20:40:13 -0200 [http://www.oliberal.com.br/atualidade/default6.asp] Protesto indígena pára telefone e internet Um protesto dos índios Guajajara, da aldeia Areião, no município de Santa Inês, a 300 quilômetros de São Luís (MA), tirou do ar o sistema de transmissão de voz e dados da Embratel e deixou milhares de paraenses sem telefone e Internet. A empresa não informou o total dos prejuízos, mas durante toda a tarde de ontem, foi impossível fazer ligações de longa distância usando o 21. Quem tem link da Embratel para acesso à rede mundial de computadores ficou sem poder enviar e receber e-mails. O problema afetou também usuários de celulares da operadora Tim (que usa o sistema de transmissão da Embratel) nos Estados do Pará, Maranhão, Amapá, Amazonas e Roraima. O chefe do posto da Fundação Nacional do Índio (Fundai) na aldeia Areião, Edivan Cardoso Farias, contou que o protesto começou na segunda-feira, com os índios cavando a área onde estão enterrados os cabos de fibra óptica da empresa. Ontem, eles conseguiram quebrar o cabo em dois lugares provocando a pane no sistema. Além disso, durante toda a tarde, os cerca de 700 Guajajara que ocupam a aldeia impediram a entrada de técnicos da Embratel para fazer os reparos. No final da tarde, a empresa divulgou nota à imprensa onde admite que houve rompimento em .um anel de cabo óptico na rodovia que atravessa a reserva dos índios Guajajara (BR-316).. Não deu, contudo, qualquer informação sobre a causa do problema. De acordo com a Assessoria de Imprensa da Embratel, a interrupção do sistema só ocorreu porque, além do corte provocado pelos índios, houve, ao mesmo tempo, rompimento de cabos em outros dois lugares fora da reserva. Um deles teria ocorrido às 14h56 e teria sido provocado pelas obras de construção de um posto de combustível, possivelmente no município de Benevides, na Grande Belém. O terceiro ponto de rompimento ficaria entre as cidades de Santa Maria e Ipixuna do Pará, a 200 quilômetros da capital. Neste último, a empresa ainda estaria investigando a causa do rompimento, mas a suspeita seria de que a pane foi provocada por uma enxurrada. A chefe da administração Funai em São Luís, Elenice Viana Barbosa, informou que, em maio deste ano, representantes da Embratel foram a aldeia Areião para oferecer compensações aos índios pela passagem dos cabos de friba óptica dentro da reserva. Os índios ficaram de fazer uma lista de reivindicações, mas o documento não chegou a ser apresentado. .Nos causou surpresa o protesto porque nós vínhamos cobrando dos caciques a lista de pedidos., contou Elenice informando que até o chefe do posto que fica dentro da aldeia foi supreendido com a reação dos índios. Hoje, de acordo ela, uma representante da empresa vai desembarcar em São Luís e, de lá, seguirá para a reserva, acompanhada de uma equipe da Funai. A ida do grupo foi a condição imposta pelos índios para liberarem a entrada dos técnicos da Embratel para fazerem os reparos na rede. À noite, por telefone, Edivan Farias contou a O LIBERAL que já estava com a lista de reivindicações dos índios em mãos, mas ele disse que só divulgaria os pedidos após repassar o documento para a administração do órgão, embora tenha adiantado que, na lista estão, pedido de ajuda financeira e na área de saúde. Na nota enviada pela Embratel às redações, a empresa informou que às 19 horas foi fechado o acordo que permitiu os técnicos entrarem na aldeia para fazer o reparo. Às 21h20, hora de Belém, parte do sistema já estava normalizada. A empresa informou que durante a madrugada de hoje seriam feitos os serviços de proteção à rede. ----- End forwarded message ----- From security em unicamp.br Tue Nov 25 10:35:49 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 25 Nov 2003 10:35:49 -0200 Subject: [SECURITY-L] Debian project machines compromised Message-ID: <20031125123549.GB318@unicamp.br> ----- Forwarded message from Marcello de Lima Azambuja ----- From: Marcello de Lima Azambuja Subject: [GTS-L] Debian project machines compromised To: gts-l em listas.unesp.br Date: Fri, 21 Nov 2003 12:20:56 -0200 FYI. http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt - ------------------------------------------------------------------------ The Debian Project http://www.debian.org/ Some Debian Project machines compromised press em debian.org November 21st, 2003 - ------------------------------------------------------------------------ Some Debian Project machines have been compromised This is a very unfortunate incident to report about. Some Debian servers were found to have been compromised in the last 24 hours. The archive is not affected by this compromise! In particular the following machines have been affected: . master (Bug Tracking System) . murphy (mailing lists) . gluck (web, cvs) . klecker (security, non-us, web search, www-master) Some of these services are currently not available as the machines undergo close inspection. Some services have been moved to other machines (www.debian.org for example). The security archive will be verified from trusted sources before it will become available again. Please note that we have recently prepared a new point release for Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been announced yet, it has been pushed to our mirrors already. The announcement was scheduled for this morning but had to be postponed. (p3 of 3) This update has now been checked and it is not affected by the compromise. We apologise for the disruptions of some services over the next few days. We are working on restoring the services and verifying the content of our archives. Contact Information - ------------------- For further information, please visit the Debian web pages at or send mail to . -- Marcello de Lima Azambuja http://www.del.ufrj.br/~azambuja PGP A5B5649F FEC9 32F3 6CF4 FC57 75D9 06CF B959 F95E A5B5 649F ----- End forwarded message ----- From security em unicamp.br Tue Nov 25 10:36:15 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 25 Nov 2003 10:36:15 -0200 Subject: [SECURITY-L] Governo do PR poe arquivo com virus na Web Message-ID: <20031125123615.GC318@unicamp.br> ----- Forwarded message from Giordani Rodrigues ----- From: "Giordani Rodrigues" Subject: [GTS-L] Governo do PR pXe arquivo com vXrus na Web To: Date: Fri, 21 Nov 2003 19:40:28 -0300 X-Mailer: Microsoft Outlook Express 6.00.2800.1158 http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1069406892,41309,/ Governo do PR põe arquivo com vírus na Web 21/11/2003 - 7:28 Giordani Rodrigues A Companhia de Informática do Paraná (Celepar) cometeu duas gafes essa semana ao anunciar a nova lei do software livre no Estado, sancionada pelo governador Roberto Requião no dia 17. Primeiro, forneceu a informação sobre a lei em um documento com formato .doc, isto é, criado pelo software proprietário Microsoft Word. Segundo, o arquivo estava infectado por um vírus de macro. A nova lei estadual sobre o uso do software livre no Paraná, de autoria do deputado Edson Praczyk, prevê que órgãos do governo e empresas estatais devem, a partir de agora, "utilizar preferencialmente softwares livres ? sistemas operacionais ou programas com código-fonte aberto ?, que reduzem os custos com licenciamentos, obrigatórios nos software proprietários". A respeito do incidente com o vírus, Marcos Mazoni, diretor presidente da Celepar, tentou se livrar da situação constrangedora com bom humor, dizendo que o episódio provava o quanto os produtos da Microsoft são inseguros e devem ser evitados. Mas acabou reconhecendo que "foi um erro" disponibilizar o arquivo naquele formato e que a forma de entrada do vírus em uma das máquinas da companhia seria verificada. Pelo menos três pessoas e a redação InfoGuerra constataram que o arquivo 1411lei.doc, que até ontem de manhã estava "linkado" nesta página, continha o W97/Juntin, um vírus de macro antigo, descoberto em 2001 e detectado por qualquer bom antivírus atualizado. Segundo a Trend Micro, ao infectar uma máquina, o Juntin desabilita a proteção antivírus do Word e infecta o modelo global de documentos do programa. Não é a primeira vez que a Celepar tem problemas com vírus. Em agosto deste ano, a rede da companhia foi infectada pelo worm Blaster. Na ocasião, a culpa para o incidente também foi atribuída à insegurança dos produtos Windows, mas o certo é que o Blaster só atacou máquinas nas quais não havia sido aplicada a correção de segurança disponibilizada cerca de um mês antes do surgimento do worm. O documento infectado com o vírus W97/Juntin já foi substituído por outro. Mazoni tinha aventado a possibilidade de que o documento fosse substituído por um arquivo HTML, que pode ser aberto por qualquer navegador, seja de software livre ou proprietário, mas a Celepar acabou colocando um arquivo com extensão .swx no lugar do anterior. Este é o formato padrão de documentos criados com o Write, editor de textos da suíte para escritório em código aberto OpenOffice. Quem usa OpenOffice consegue abrir arquivos .doc, mas quem usa Word não consegue abrir arquivos .swx. ----- End forwarded message ----- From security em unicamp.br Tue Nov 25 16:20:37 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Tue, 25 Nov 2003 16:20:37 -0200 Subject: [SECURITY-L] CERT Summary CS-2003-04 Message-ID: <20031125182037.GA2197@unicamp.br> ----- Forwarded message from CERT Advisory ----- From: CERT Advisory Subject: CERT Summary CS-2003-04 To: cert-advisory em cert.org Date: Mon, 24 Nov 2003 15:28:26 -0500 Organization: CERT(R) Coordination Center - +1 412-268-7090 -----BEGIN PGP SIGNED MESSAGE----- CERT Summary CS-2003-04 November 24, 2003 Each quarter, the CERT Coordination Center (CERT/CC) issues the CERT Summary to draw attention to the types of attacks reported to our incident response team, as well as other noteworthy incident and vulnerability information. The summary includes pointers to sources of information for dealing with the problems. Past CERT summaries are available from: CERT Summaries http://www.cert.org/summaries/ ______________________________________________________________________ Recent Activity Since the last regularly scheduled CERT summary, issued in September 2003 (CS-2003-03), we have documented vulnerabilities in the Microsoft Windows Workstation Service, RPCSS Service, and Exchange. We have also documented vulnerabilities in various SSL/TLS implementations, a buffer overflow in Sendmail, and a buffer management error in OpenSSH. We have received reports of W32/Swen.A, W32/Mimail variants, and exploitation of an Internet Explorer vulnerability reported in August of 2003. For more current information on activity being reported to the CERT/CC, please visit the CERT/CC Current Activity page. The Current Activity page is a regularly updated summary of the most frequent, high-impact types of security incidents and vulnerabilities being reported to the CERT/CC. The information on the Current Activity page is reviewed and updated as reporting trends change. CERT/CC Current Activity http://www.cert.org/current/current_activity.html 1. W32/Mimail Variants The CERT/CC has received reports of several new variants of the 'Mimail' worm. The most recent variant of the worm (W32/Mimail.J) arrives as an email message alleging to be from the Paypal financial service. The message requests that the recipient 'verify' their account information to prevent the suspension of their Paypal account. Attached to the email is an executable file which captures this information (if entered), and sends it to a number of email addresses. Current Activity - November 19, 2003 http://www.cert.org/current/archive/2003/11/19/archive.html#mimaili 2. Buffer Overflow in Windows Workstation Service A buffer overflow vulnerability exists in Microsoft's Windows Workstation Service (WKSSVC.DLL) allowing an attacker to execute arbitrary code or cause a denial-of-service condition. CERT Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service http://www.cert.org/advisories/CA-2003-28.html Vulnerability Note VU#567620 Microsoft Windows Workstation service vulnerable to buffer overflow when sent specially crafted network message http://www.kb.cert.org/vuls/id/567620 3. Multiple Vulnerabilities in Microsoft Windows and Exchange Multiple vulnerabilities exist in Microsoft Windows and Microsoft Exchange, the most serious of which could allow remote attackers to execute arbitrary code. CERT Advisory CA-2003-27 Multiple Vulnerabilities in Microsoft Windows and Exchange http://www.cert.org/advisories/CA-2003-27.html Vulnerability Note VU#575892 Buffer overflow in Microsoft Windows Messenger Service http://www.kb.cert.org/vuls/id/575892 Vulnerability Note VU#422156 Microsoft Exchange Server fails to properly handle specially crafted SMTP extended verb requests http://www.kb.cert.org/vuls/id/422156 Vulnerability Note VU#467036 Microsoft Windows Help and support Center contains buffer overflow in code used to handle HCP protocol http://www.kb.cert.org/vuls/id/467036 Vulnerability Note VU#989932 Microsoft Windows contains buffer overflow in Local Troubleshooter ActiveX control (Tshoot.ocx) http://www.kb.cert.org/vuls/id/989932 Vulnerability Note VU#838572 Microsoft Windows Authenticode mechanism installs ActiveX controls without prompting user http://www.kb.cert.org/vuls/id/838572 Vulnerability Note VU#435444 Microsoft Outlook Web Access (OWA) contains cross-site scripting vulnerability in the "Compose New Message" form http://www.kb.cert.org/vuls/id/435444 Vulnerability Note VU#967668 Microsoft Windows ListBox and ComboBox controls vulnerable to buffer overflow when supplied crafted Windows message http://www.kb.cert.org/vuls/id/967668 4. Multiple Vulnerabilities in SSL/TLS Implementations Multiple vulnerabilities exist in the Secure Sockets Layer (SSL) and Transport Layer Security (TLS) protocols allowing an attacker to execute arbitrary code or cause a denial-of-service condition. CERT Advisory CA-2003-26 Multiple Vulnerabilities in SSL/TLS Implementations http://www.cert.org/advisories/CA-2003-26.html Vulnerability Note VU#935264 OpenSSL ASN.1 parser insecure memory deallocation http://www.kb.cert.org/vuls/id/935264 Vulnerability Note VU#255484 OpenSSL contains integer overflow handling ASN.1 tags (1) http://www.kb.cert.org/vuls/id/255484 Vulnerability Note VU#380864 OpenSSL contains integer overflow handling ASN.1 tags (2) http://www.kb.cert.org/vuls/id/380864 Vulnerability Note VU#686224 OpenSSL does not securely handle invalid public key when configured to ignore errors http://www.kb.cert.org/vuls/id/686224 Vulnerability Note VU#732952 OpenSSL accepts unsolicited client certificate messages http://www.kb.cert.org/vuls/id/732952 Vulnerability Note VU#104280 Multiple vulnerabilities in SSL/TLS implementations http://www.kb.cert.org/vuls/id/104280 Vulnerability Note VU#412478 OpenSSL 0.9.6k does not properly handle ASN.1 sequences http://www.kb.cert.org/vuls/id/412478 5. Exploitation of Internet Explorer Vulnerability The CERT/CC received a number of reports indicating that attackers were actively exploiting the Microsoft Internet Explorer vulnerability described in VU#865940. These attacks include the installation of tools for launching distributed denial-of-service (DDoS) attacks, providing generic proxy services, reading sensitive information from the Windows registry, and using a victim system's modem to dial pay-per-minute services. The vulnerability described in VU#865940 exists due to an interaction between IE's MIME type processing and the way it handles HTML application (HTA) files embedded in OBJECT tags. CERT Advisory IN-2003-04 Exploitation of Internet Explorer Vulnerability http://www.cert.org/incident_notes/IN-2003-04.html Vulnerability Note VU#865940 Microsoft Internet Explorer does not properly evaluate "application/hta" MIME type referenced by DATA attribute of OBJECT element http://www.kb.cert.org/vuls/id/865940 6. W32/Swen.A Worm On September 19, the CERT/CC began receiving a large volume of reports of a mass mailing worm, referred to as W32/Swen.A, spreading on the Internet. Similar to W32/Gibe.B in function, this worm arrives as an attachment claiming to be a Microsoft Internet Explorer Update or a delivery failure notice from qmail. The W32/Swen.A worm requires a user to execute the attachment either manually or by using an email client that will open the attachment automatically. Upon opening the attachment, the worm attempts to mail itself to all email addresses it finds on the system. The CERT/CC updated the current activity page to contain further information on this worm. Current Activity - September 19, 2003 http://www.cert.org/current/archive/2003/09/19/archive.html#swena 7. Buffer Overflow in Sendmail Sendmail, a widely deployed mail transfer agent (MTA), contains a vulnerability that could allow an attacker to execute arbitrary code with the privileges of the sendmail daemon, typically root. CERT Advisory CA-2003-25 Buffer Overflow in Sendmail http://www.cert.org/advisories/CA-2003-25.html Vulnerability Note VU#784980 Sendmail prescan() buffer overflow vulnerability http://www.kb.cert.org/vuls/id/784980 8. Buffer Management Vulnerability in OpenSSH A remotely exploitable vulnerability exists in a buffer management function in versions of OpenSSH prior to 3.7.1. This vulnerability could enable an attacker to cause a denial-of-service condition. CERT Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH http://www.cert.org/advisories/CA-2003-24.html Vulnerability Note VU#333628 OpenSSH contains buffer management errors http://www.kb.cert.org/vuls/id/333628 9. RPCSS Vulnerabilities in Microsoft Windows On September 10, the CERT/CC reported on three vulnerabilities that affect numerous versions of Microsoft Windows, two of which are remotely exploitable buffer overflows that may an allow an attacker to execute code with system privileges. CERT Advisory CA-2003-23 RPCSS Vulnerabilities in Microsoft Windows http://www.cert.org/advisories/CA-2003-23.html Vulnerability Note VU#483492 Microsoft Windows RPCSS Service contains heap overflow in DCOM activation routines http://www.kb.cert.org/vuls/id/483492 Vulnerability Note VU#254236 Microsoft Windows RPCSS Service contains heap overflow in DCOM request filename handling http://www.kb.cert.org/vuls/id/254236 Vulnerability Note VU#326746 Microsoft Windows RPC service vulnerable to denial of service http://www.kb.cert.org/vuls/id/326746 ______________________________________________________________________ New CERT Coordination Center (CERT/CC) PGP Key On October 15, the CERT/CC issued a new PGP key, which should be used when sending sensitive information to the CERT/CC. CERT/CC PGP Public Key https://www.cert.org/pgp/cert_pgp_key.asc Sending Sensitive Information to the CERT/CC https://www.cert.org/contact_cert/encryptmail.html ______________________________________________________________________ What's New and Updated Since the last CERT Summary, we have published new and updated * Advisories http://www.cert.org/advisories/ * Vulnerability Notes http://www.kb.cert.org/vuls * CERT/CC Statistics http://www.cert.org/stats/cert_stats.html * Congressional Testimony http://www.cert.org/congressional_testimony * Training Schedule http://www.cert.org/training/ * CSIRT Development http://www.cert.org/csirts/ ______________________________________________________________________ This document is available from: http://www.cert.org/summaries/CS-2003-04.html ______________________________________________________________________ CERT/CC Contact Information Email: cert em cert.org Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends. Using encryption We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from http://www.cert.org/CERT_PGP.key If you prefer to use DES, please call the CERT hotline for more information. Getting security information CERT publications and other security information are available from our web site http://www.cert.org/ To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo em cert.org. Please include in the body of your message subscribe cert-advisory * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office. ______________________________________________________________________ NO WARRANTY Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement. ______________________________________________________________________ Conditions for use, disclaimers, and sponsorship information Copyright ©2003 Carnegie Mellon University. -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBP8JVOZZ2NNT/dVAVAQGL9wP+I18NJBUBuv7b0pam5La7E7qOQFMn5n78 7i0gBX/dKgaY5siM6jBYYwCbbA7Y0/Jwtby2zHp1s8RHZY5/3JEzElfv4TLlR8rT rb8gJDbpan2JWA6xH9IzqZaSrxrXpNypwU2wWxR2osmbYl8FdV0rD3ZYXJjyi+nU UENALuNdthA= =DD60 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Nov 26 09:54:25 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 26 Nov 2003 09:54:25 -0200 Subject: [SECURITY-L] BSDCon Brasil Message-ID: <20031126115424.GB3399@unicamp.br> ----- Forwarded message from Nelson Murilo ----- From: Nelson Murilo Subject: [S] BSDCon Brasil To: seguranca em pangeia.com.br Date: Tue, 25 Nov 2003 10:40:01 -0200 [http://bsdcon.myfreebsd.com.br] Primeira BSDCon Brasil - Rio de Janeiro O nome BSD (de Berkeley Software Distribution) agrega o que há de mais tradicional, e também inovador, em termos de software livre. Trata-se de uma licença de software que é adotada pelas mais reconhecidas e bem sucedidas peças de software até hoje escritas como: FreeBSD, OpenBSD, NetBSD, Darwin, Mac OS X e BSD/OS. Tais sistemas operacionais estão presentes em milhões e milhões de computadores em todo o mundo e tem ajudado a mover desde as aplicações mais simples até as mais críticas operações na Internet. Seja você interessado em software livre, preocupado com os caminhos destas tecnologias, um empresário ou técnico do ramo de TI, a BSDCon Brasil é o lugar ideal para encontrar com aqueles que movem esta tecnologia no Brasil. Esta é a primeira edição da BSDCon Brasil, sendo promovida por um grupo de empresas ativamente ligadas à Comunidade BSD. Neste evento teremos dois intensos dias de palestras e mini-cursos. Também teremos a oportunidade de conhecer melhor os projetos que estão sendo levados por desenvolvedores e membros da comunidade BSD brasileira em seções de Tribunas Livres. Inscreva-se agora e aproveite o desconto. A BSDCon Brasil vai acontecer nos dias 6 e 7 de Dezembro de 2003 Local: IME - Instituto Militar de Engenharia Rio de Janeiro - RJ Praça General Tibúrcio 80, Praia Vermelha Informações: OpenIT - +55 21 2222-1457 ----- End forwarded message ----- From security em unicamp.br Wed Nov 26 16:29:07 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Wed, 26 Nov 2003 16:29:07 -0200 Subject: [SECURITY-L] Descobertas vulnerabilidades no Internet Explorer Message-ID: <20031126182903.GA4015@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: Descobertas vulnerabilidades no Internet Explorer To: security em unicamp.br Date: Wed, 26 Nov 2003 13:47:11 -0300 (ART) Descobertas vulnerabilidades no Internet Explorer Quarta-feira, 26 de Novembro de 2003 - 11h20 IDG Now! http://idgnow.terra.com.br/idgnow/internet/2003/11/0072 Cinco vulnerabilidades de segurança que podem permitir a invasão de hackers foram descobertas no Internet Explorer da Microsoft, informaram pesquisadores norte-americanos na terça-feira (25/11). Os erros poderiam permitir aos hackers driblar e comprometer os sistemas de segurança, dando acesso a informações confidenciais e à estrutura do programa. As falhas foram apontadas no IE 6.0, embora outras versões podem ter sido atacadas também, segundo um boletim divulgado pela empresa de segurança Secunia. A companhia classificou ainda as vulnerabilidades como “extremamente críticas” e advertiu os usuários do Internet Explorer a desabilitar o sistema Active Scripting e “usar outro produto”. “Os usuários que realmente se importam com segurança na internet devem desabilitar o sistema [Active Scripting]”, afirmou nesta quarta-feira Thomas Kristensen, Chief Technology Officer (CTO) da Secunia. A Microsoft está investigando as denúncias de vulnerabilidade mas não tem informações de consumidores afetados até o momento, segundo representantes da empresa na Inglaterra. A gigante da tecnologia também advertiu os usuários a baixar o último patch para o IE divulgado em 11 de novembro, enquanto investiga uma solução para as novas falhas. [ Scarlet Pruitt – IDG News Service, Inglaterra ] Site relacionado: · www.microsoft.com ----- End forwarded message ----- From security em unicamp.br Fri Nov 28 14:46:32 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 28 Nov 2003 14:46:32 -0200 Subject: [SECURITY-L] OSSIM - Open Source Security Information Management Message-ID: <20031128164631.GA15588@unicamp.br> ----- Forwarded message from Caio Souza Mendes ----- From: Caio Souza Mendes Subject: OSSIM - Open Source Security Information Management To: security em unicamp.br Date: Fri, 28 Nov 2003 13:37:45 -0300 (ART) OSSIM - Open Source Security Information Management Enviado em: Friday, November 28 @ 12:48:30 EDT http://www.linuxsecurity.com.br/article.php?sid=8079&mode=thread&order=0 O OSSIM procura unificar em uma única ferramenta o monitoramento de redes, segurança, correlação e qualificação, combinando o Snort, Acid, MRTG, NTOP, OpenNMS, NMap, Nessus e rrdtool para oferecer controle total sobre todos os aspectos da segurança de sua rede... http://sourceforge.net/projects/os-sim/ ----- End forwarded message ----- From security em unicamp.br Fri Nov 28 16:43:11 2003 From: security em unicamp.br (Security Team - UNICAMP) Date: Fri, 28 Nov 2003 16:43:11 -0200 Subject: [SECURITY-L] Vulnerabilidades de seguranca Message-ID: <20031128184310.GB15588@unicamp.br> Srs. Usuarios, Atualizamos o site da Equipe de Seguranca em Sistemas e Redes da Unicamp com os seguintes boletins de vulnerabilidades: 10/11/2003 ---------- Gentoo Linux Security Announcement (200311-03) Assunto: vulnerabilidade de seguranca no pacote net-misc/hylafax. http://www.security.unicamp.br/docs/bugs/2003/11/v64.txt 15/11/2003 ---------- Gentoo Linux Security Announcement (200311-01) Assunto: vulnerabilidade de seguranca no pacote kde-base/kdebase. http://www.security.unicamp.br/docs/bugs/2003/11/v62.txt 17/11/2003 ---------- Red Hat Security Advisory (RHSA-2003:342-01) Assunto: Updated EPIC packages fix security vulnerability. http://www.security.unicamp.br/docs/bugs/2003/11/v67.txt 18/11/2003 ---------- Mandrake Linux Security Update Advisory (MDKSA-2003:107) Assunto: vulnerabilidade de seguranca no pacote glibc. http://www.security.unicamp.br/docs/bugs/2003/11/v59.txt 19/11/2003 ---------- SGI Security Advisory (20031103-01-U) Assunto: SGI Advanced Linux Environment security update #5. http://www.security.unicamp.br/docs/bugs/2003/11/v60.txt Gentoo Linux Security Announcement (200311-02) Assunto: vulnerabilidade de seguranca no pacote net-www/opera. http://www.security.unicamp.br/docs/bugs/2003/11/v63.txt 20/11/2003 ---------- Gentoo Linux Security Announcement (200310-03) Assunto: vulnerabilidade de seguranca no pacote net-www/apache. http://www.security.unicamp.br/docs/bugs/2003/11/v61.txt Anúncio de Segurança do Conectiva Linux (CLA-2003:786) Assunto: Correção para vulnerabilidades de negação de serviço no pacote zebra. http://www.security.unicamp.br/docs/bugs/2003/11/v65.txt Anúncio de Atualização do Conectiva Linux (CLA-2003:787) Assunto: Correções para o pacote inn. http://www.security.unicamp.br/docs/bugs/2003/11/v66.txt 22/11/2003 ---------- Gentoo Linux Security Announcement (200311-04) Assunto: vulnerabilidade de seguranca no pacote net-analyzer/ethereal. http://www.security.unicamp.br/docs/bugs/2003/11/v71.txt Gentoo Linux Security Announcement (200311-05) Assunto: vulnerabilidade de seguranca no pacote sys-libs/glibc. http://www.security.unicamp.br/docs/bugs/2003/11/v72.txt Gentoo Linux Security Announcement (200311-07) Assunto: vulnerabilidade de seguranca no pacote net-libs/libnids. http://www.security.unicamp.br/docs/bugs/2003/11/v73.txt Gentoo Linux Security Announcement (200311-06) Assunto: vulnerabilidade de seguranca no pacote dev-php/phpsysinfo. http://www.security.unicamp.br/docs/bugs/2003/11/v74.txt 24/11/2003 ---------- Red Hat Security Advisory (RHSA-2003:316-01) Assunto: Updated iproute packages fix local security vulnerability. http://www.security.unicamp.br/docs/bugs/2003/11/v68.txt Red Hat Security Advisory (RHSA-2003:296-01) Assunto: Updated stunnel packages available. http://www.security.unicamp.br/docs/bugs/2003/11/v69.txt Red Hat Security Advisory (RHSA-2003:311-01) Assunto: Updated Pan packages fix denial of service vulnerability. http://www.security.unicamp.br/docs/bugs/2003/11/v70.txt CERT Summary CS-2003-04 http://www.security.unicamp.br/docs/bugs/2003/11/v75.txt 25/11/2003 ---------- Red Hat Security Advisory (RHSA-2003:286-01) Assunto: Updated XFree86 packages provide security and bug fixes. http://www.security.unicamp.br/docs/bugs/2003/11/v76.txt Red Hat Security Advisory (RHSA-2003:287-01) Assunto: Updated XFree86 packages provide security and bug fixes. http://www.security.unicamp.br/docs/bugs/2003/11/v77.txt CAIS-Alerta: CERT Summary CS-2003-04 http://www.security.unicamp.br/docs/bugs/2003/11/v78.txt OpenPKG Security Advisory (OpenPKG-SA-2003.049) Assunto: vulnerabilidade de seguranca no pacote zebra. http://www.security.unicamp.br/docs/bugs/2003/11/v79.txt Mandrake Linux Security Update Advisory (MDKSA-2003:108) Assunto: vulnerabilidade de seguranca no pacote stunnel. http://www.security.unicamp.br/docs/bugs/2003/11/v80.txt 26/11/2003 ---------- SGI Security Advisory (20031103-01-U) Assunto: SGI ProPack v2.3 security update. http://www.security.unicamp.br/docs/bugs/2003/11/v81.txt Guardian Digital Security Advisory (ESA-20031126-031) Assunto: vulnerabilidade de seguranca nos pacotes bind-chroot, bind-chroot-utils. http://www.security.unicamp.br/docs/bugs/2003/11/v82.txt Immunix Secured OS Security Advisory (IMNX-2003-7+-024-01) Assunto: vulnerabilidade de seguranca no pacote bind. http://www.security.unicamp.br/docs/bugs/2003/11/v83.txt 28/11/2003 ---------- OpenPKG Security Advisory (OpenPKG-SA-2003.050) Assunto: vulnerabilidade de seguranca no pacote screen. http://www.security.unicamp.br/docs/bugs/2003/11/v84.txt SUSE Security Announcement (SuSE-SA:2003:047) Assunto: vulnerabilidade de seguranca no pacote bind8. http://www.security.unicamp.br/docs/bugs/2003/11/v85.txt Mandrake Linux Security Update Advisory (MDKSA-2003:109) Assunto: vulnerabildiade de seguranca no pacote gnupg. http://www.security.unicamp.br/docs/bugs/2003/11/v86.txt -- Equipe de Seguranca em Sistemas e Redes Unicamp - Universidade Estadual de Campinas mailto:security em unicamp.br http://www.security.unicamp.br