From security em unicamp.br Tue Aug 5 10:08:33 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Tue, 5 Aug 2008 10:08:33 -0300 Subject: [SECURITY-L] CAIS-Alerta: Multiplas Vulnerabilidades no RealPlayer (SA27620) Message-ID: <20080805130833.GA3488@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Multiplas Vulnerabilidades no RealPlayer (SA27620) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 1 Aug 2008 17:04:51 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Secunia, intitulado "SA27620 - RealNetworks RealPlayer Multiple Vulnerabilities", que trata de quatro vulnerabilidades que foram identificadas no tocador multimidia RealPlayer. A primeira vulnerabilidade esta' relacionada com o controle ActiveX rmoc3260 ao lidar com as propriedades "Controls", "Console" ou "WindowName". A segunda vulnerabilidade esta' associada com a utilizacao de recursos locais da maquina. A terceira e' um erro de projeto do sistema ao lidar com frames de arquivos Shockwave Flash (SWF). A ultima vulnerabilidade e' uma falha presente na biblioteca rjbdll.dll ao lidar com a abertura de arquivos. Caso um atacante consiga explorar com sucesso algumas destas vulnerabilidades, ele podera ler ou alterar dados armazenados em um sistema vulneravel, contornando mecanismos de seguranca ou mesmo comprometendo este sistema. Por se tratar de uma aplicacao multimidia muito utilizada, recomenda-se que a atualizacao desta aplicacao seja instalada o mais rapido possivel. Estas vulnerabilidades foram consideradas Criticas na ultima edicao da publicacao semanal SANS @RISK. Sistemas afetados: . RealPlayer 11 (11.0.0 - 11.0.2 versoes 6.0.14.738 - 6.0.14.802) . RealPlayer 10.5 (6.0.12.1040-6.0.12.1663, 6.0.12.1698, 6.0.12.1741) . RealPlayer 10 . RealPlayer Enterprise . Mac RealPlayer 10.1 (10.0.0.396 - 10.0.0.503) . Mac RealPlayer 10 (10.0.0.305 - 352) . Linux RealPlayer 10 Correcoes disponiveis: Recomenda-se instalar a ultima versao do software, disponivel em: http://www.real.com/player/ A vulnerabilidade do controle ActiveX rmoc3260 nao foi complementamente sanada e recomenda-se a ativacao de um ativacao de um "kill-bit" (modificacao no registro). Para mais informacoes sobre este procedimento por favor consulte o documento da Microsoft listado na secao "Mais Informacoes". Mais informacoes: . SA27620 - RealNetworks RealPlayer Multiple Vulnerabilities http://secunia.com/advisories/27620/ . RealNetworks, Inc. Releases Update to Address Security Vulnerabilities http://service.real.com/realplayer/security/07252008_player/en/ . SANS @RISK July 31 2008: # (1) CRITICAL: RealPlayer Multiple Vulnerabilities http://www.sans.org/newsletters/risk/display.php?v=7&i=31#widely1 . Como impedir que um controle ActiveX seja executado no Internet Explorer (KB240797) http://support.microsoft.com/?scid=kb%3Bpt-br%3B240797&x=13&y=11 Identificador CVE (http://cve.mitre.org): CVE-2007-5400, CVE-2008-1309 CVE-2008-3064, CVE-2008-3066 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSJNseOkli63F4U8VAQEJ5gP9HXZsMkPylHcUT1tsxsHrehxQCg/N02Bd CzzjH9KexpneGsrxXRq/zv+dJAzmhQZDYsUTrk3R1m1e98mCn0W1Eeax6UqNTOss UMk3YPZU78DNUrAUIO2QCmq7mcmiykmy4Pxfl4Bj9UE7Oj6lLS/wrHtOrXVY4Jjp drtMFRLre+M= =CpWd -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 10:29:52 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 13 Aug 2008 10:29:52 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA08-225A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20080813132952.GB36955@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA08-225A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 12 Aug 2008 15:52:33 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA08-225A Microsoft Updates for Multiple Vulnerabilities Original release date: August 12, 2008 Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows * Microsoft Internet Explorer * Microsoft Office including Access, Excel, and Word Overview Microsoft has released updates that address vulnerabilities in Microsoft Windows, Office, and Internet Explorer. I. Description Microsoft has released updates to address vulnerabilities that affect Microsoft Windows, Office, Internet Explorer, and other related components as part of the Microsoft Security Bulletin Summary for August 2008. The most severe vulnerabilities could allow a remote, unauthenticated attacker to execute arbitrary code. For more information, see the US-CERT Vulnerability Notes Database. II. Impact A remote, unauthenticated attacker could execute arbitrary code or cause a vulnerable application to crash. III. Solution Apply updates from Microsoft Microsoft has provided updates for these vulnerabilities in the August 2008 Security Bulletin Summary. The security bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. Administrators should consider using an automated update distribution system such as Windows Server Update Services (WSUS). IV. References * US-CERT Vulnerability Notes for Microsoft August 2008 updates - * Microsoft Security Bulletin Summary for August 2008 - * Microsoft Update - * Windows Server Update Services - _________________________________________________________________ The most recent version of this document can be found at: _________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA08-225A Feedback VU#309739" in the subject. _________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . _________________________________________________________________ Produced 2008 by US-CERT, a government organization. Terms of use: _________________________________________________________________ Revision History August 12, 2008: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBSKHpWXIHljM+H4irAQIAjggAnuRH0SYnfJ6bOr1h5PSZfu9jdVbKMCNV b3l4BjoMREjVemf2FjlinYfDzmEwAEDY0YmAEgI4keLqLUXjlR+z2fFwK3457Z1S YSlLT/C2mjeD4N+k+h7rnJuMt+gkhDE9S5QpDW/dOiftpCyXTXNZ3MJKf2wX4DER WW5iAsBhK0KJ/IVZyybpS/Xl1MXoVmrG9lGkLbnd82kJxm8hYaYmBn5LnsysVdlt Wt1OgQZ1qFjeWQYb/MdHvy6yjnTgdoGYSYoPBGffQ5Nd3Vwq3P+huOvYD+k6z1Fl QCmRALIxhLPyANiTL5KZYfZPcgpIQ6SiEvl+zZjAW9fs2jZ4hhbp5A== =RUYx -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 13 15:19:39 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 13 Aug 2008 15:19:39 -0300 Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Seguranca Microsoft - Agosto 2008 Message-ID: <20080813181938.GD36955@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Resumo dos Boletins de Seguranca Microsoft - Agosto 2008 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 13 Aug 2008 11:29:36 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, A partir deste mes o CAIS adotou uma nova abordagem para a divulgacao do ciclo mensal de alertas da Microsoft. Neste novo formato sao apresentados o resumo e informacoes essenciais dos boletins de seguranca da Microsoft referentes ao mes de Agosto de 2008. Dos 11 alertas divulgados sao tratadas 26 vulnerabilidades que afetam diversos produtos e que podem resultar desde a divulgacao de informacoes ate' o comprometimento completo do sistema atacado. Informacoes disponiveis publicamente indicam que 3 (*) das vulnerabilidades possuem codigo malicioso (exploit) que esta' sendo utilizado amplamente em ataques, o que aumenta a criticidade na aplicacao destas correcoes. Critico: MS08-041: Vulnerabilidade no controle ActiveX do Microsoft Access permite execucao remota de codigo (*) MS08-043: Vulnerabilidade no Microsoft Excel permite execucao remota de codigo MS08-044: Vulnerabilidade no Microsoft Office Filters permite execucao remota de codigo MS08-045: Correcoes de seguranca acumulativas para Internet Explorer (*) MS08-046: Vulnerabilidade no Microsoft Windows Image Color Management System permite execucao remota de codigo MS08-051: Vulnerabilidade no Microsoft PowerPoint permite execucao remota de codigo Importante: MS08-042: Vulnerabilidade no Microsoft Word permite execucao remota de codigo (*) MS08-047: Vulnerabilidade no IPsec Policy Processing pode permitir a divulgacao de informacoes MS08-048: Correcoes de seguranca para o Outlook Express e Windows Mail MS08-049: Vulnerabilidade no Event System permite execucao remota de codigo MS08-050: Vulnerabilidade no Windows Messenger pode permitir a divulgacao de informacoes CORRECOES DISPONIVEIS Recomenda-se fazer a atualizacao para as versoes disponiveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx MAIS INFORMACOES . Microsoft Security Bulletin Summary for August 2008 http://www.microsoft.com/technet/security/bulletin/ms08-aug.mspx . SANS ISC Handler's Diary 2008-08-12: August 2008 Black Tuesday Overview http://isc.sans.org/diary.html?storyid=4876 . MS08-041 - Vulnerability in the ActiveX Control for the Snapshot Viewerfor Microsoft Access Could Allow Remote Code Execution (955617) http://www.microsoft.com/technet/security/bulletin/ms08-041.mspx . MS08-042 - Vulnerability in Microsoft Word Could Allow Remote CodeExecution (955048) http://www.microsoft.com/technet/security/bulletin/ms08-042.mspx . MS08-043 - Vulnerabilities in Microsoft Excel Could Allow Remote CodeExecution (954066) http://www.microsoft.com/technet/security/bulletin/ms08-043.mspx . MS08-044 - Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (924090) http://www.microsoft.com/technet/security/bulletin/ms08-044.mspx . MS08-045 - Cumulative Security Update for Internet Explorer (953838) http://www.microsoft.com/technet/security/bulletin/ms08-045.mspx . MS08-046 - Vulnerability in Microsoft Windows Image Color Management System Could Allow Remote Code Execution (952954) http://www.microsoft.com/technet/security/bulletin/ms08-046.mspx . MS08-047 - Vulnerability in IPsec Policy Processing Could Allow Information Disclosure (953733) http://www.microsoft.com/technet/security/bulletin/ms08-047.mspx . MS08-048 - Security Update for Outlook Express and Windows Mail (951066) http://www.microsoft.com/technet/security/bulletin/ms08-048.mspx . MS08-049 - Vulnerabilities in Event System Could Allow Remote Code Execution (950974) http://www.microsoft.com/technet/security/bulletin/ms08-049.mspx . MS08-050 - Vulnerability in Windows Messenger Could Allow Information Disclosure (955702) http://www.microsoft.com/technet/security/bulletin/ms08-050.mspx . MS08-051 - Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (949785) http://www.microsoft.com/technet/security/bulletin/ms08-051.mspx . Microsoft Brasil Security http://www.microsoft.com/brasil/security . Technet Brasil - Central de Seguranca http://www.technetbrasil.com.br/seguranca . Windows Live OneCare http://safety.live.com/site/pt-BR/default.htm Identificador CVE (http://cve.mitre.org): CVE-2008-2463, CVE-2008-2244, CVE-2008-3003, CVE-2008-3004, CVE-2008-3005, CVE-2008-3006, CVE-2008-3018, CVE-2008-3019, CVE-2008-3020, CVE-2008-3021, CVE-2008-3460, CVE-2008-2254, CVE-2008-2255, CVE-2008-2256, CVE-2008-2257, CVE-2008-2258, CVE-2008-2259, CVE-2008-2245, CVE-2008-2246, CVE-2008-1448, CVE-2008-1457, CVE-2008-1458, CVE-2008-0082, CVE-2008-0120, CVE-2008-0121, CVE-2008-1455 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSKLv1ukli63F4U8VAQHCzQP+KONxFKrAnh7QAfigQ9qT+G7jQ/FkTBjU t9atRPh332zbgx/zTNAXWVzKC6LfGQlPKFbuPowWWII4hwHpEVlPB8X9FT3FJCWr s9USIKKmYZyOtrwtrXOM8NAbO5PyRx/JRio4z3cZdf4fEHmtoaWRQ0PxbRAbQDW/ yZ/9AvjjQAk= =iJCO -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon Aug 18 10:26:46 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 18 Aug 2008 10:26:46 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Joomla sendo explorada (SA31457) Message-ID: <20080818132645.GA59686@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Joomla sendo explorada (SA31457) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 15 Aug 2008 16:31:21 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Secunia, intitulado "SA31457 - Joomla "token" Password Change Vulnerability", que trata de uma vulnerabilidade critica identificada no gerenciador de conteudo web Joomla. Quando e' solicitado o "reset" da senha de um usuario do sistema o Joomla! envia um "token" por e-mail, um recurso e' util no caso de perda da senha. A falha em questao esta' exatamente neste mecanismo, ao permitir que um usuario nao autenticado ou autorizado realize "reset" da senha do primeiro usuario habilitado no sistema e depois assuma controle deste usuario. O que agrava esta vulnerabilidade e' justamente o fato do primeiro usuario ser o usuario administrador, que tem controle total sobre o sistema. A vulnerabilidade permite que um usuario nao autenticado tenha acesso remoto 'a implantacao de Joomla!, podendo ler ou alterar conteudo. Em 12 de agosto foi tornado publico um codigo malicioso (exploit) que tem sido amplamente utilizado, especialmente em ataques de troca de pagina (defacement), o que aumenta a criticidade na aplicacao destas correcoes. Joomla! e' um dos sistemas CMS (Content Management System) com maior base de usuarios, o que faz dele um alvo preferencial de ataques. Por este motivo recomendamos que a atualizacao seja instalada o mais rapido possivel. SISTEMAS AFETADOS . Joomla 1.5.5 e anteriores CORRECOES DISPONIVEIS Recomenda-se instalar a ultima versao do software, disponivel em: . Download Joomla! 1.5.x http://www.joomla.org/download.html MAIS INFORMACOES . SA31457 - Joomla "token" Password Change Vulnerability http://secunia.com/advisories/31457/ . [20080801] - Core - Password Remind Functionality http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html . US-CERT Current Activity - Joomla! Password Reset Vulnerability http://www.us-cert.gov/current/index.html#joomla_password_reset_vulnerability . Joomla suffers already-exploited critical vulnerability http://www.heise-online.co.uk/security/Joomla-suffers-already-exploited-critical-vulnerability--/news/111307 Identificador CVE (http://cve.mitre.org): CVE-2008-3681 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSKXZl+kli63F4U8VAQE6iQP+Mbq1AmnkLYydxITi3lvs5gpqHu92rEtH 5F5VyDfsG2ob7FDfDWl0qb9rytj9TXbjW0fk3Pfxx30SUyuytkBXvlFdrr2egE2D Gp/Dpqy2bAEFJVlbVGCJJXXFdWKOwapMZq/9WtQiN8bL0LoV+wDC2Ss730CiIKBN KA3OeWwZVz0= =dTL2 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 27 16:55:53 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 27 Aug 2008 16:55:53 -0300 Subject: [SECURITY-L] CAIS-Alerta: Comprometimento de pacotes OpenSSH do Red Hat (SA31575) Message-ID: <20080827195552.GB97387@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Comprometimento de pacotes OpenSSH do Red Hat (SA31575) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 27 Aug 2008 14:03:00 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Secunia, intitulado "SA31575 - Red Hat Update for Tampered OpenSSH Packages", que trata do comprometimento dos pacotes do aplicativo OpenSSH utilizados pela Red Hat. A Red Hat informou que sofreu uma invasao em servidores utilizados para a distribuicao de pacotes e como consequencia do ataque foram modificados e assinados digitalmente de forma indevida alguns pacotes OpenSSH. A Red Hat disponibilizou a lista de pacotes alterados e como proceder com sua identificacao. Admitir o comprometimento e' uma atitude positiva da Red Hat, levando em consideracao que este tipo de incidente e' embaracoso para uma empresa. As razoes para uma atualizacao de seguranca muitas vezes sao omitidas dos usuarios. SISTEMAS AFETADOS . OpenSSH para Red Hat Enterprise Linux 4 . OpenSSH para Red Hat Enterprise Linux 5 . OpenSSh para Red Hat Enterprise Linux 4.5 Extended Update Support CORRECOES DISPONIVEIS Recomenda-se verificar se foi instalado algum pacote comprometido e proceder com o update, conforme orientacoes disponiveis em: . http://www.redhat.com/security/data/openssh-blacklist.html MAIS INFORMACOES . SA31575- Red Hat Update for Tampered OpenSSH Packages http://secunia.com/advisories/31575/ . RHSA-2008:0855-6 Critical: openssh security update https://rhn.redhat.com/errata/RHSA-2008-0855.html . OpenSSH blacklist script http://www.redhat.com/security/data/openssh-blacklist.html . SANS ISC Handler's Diary 2008-08-22: RedHat compromise sparks a Critical openssh security update http://isc.sans.org/diary.html?storyid=4921 Identificador CVE (http://cve.mitre.org): CVE-2007-4752 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSLWI9Okli63F4U8VAQH/VwP9EJj4jy2imRSZ9EBmXYTcGye3iQaFMByX q1rOEHAfx5yU+PdYGrhFsPyKt3McgE5ZiiJkylI9lyMPLHUe37liH08cmB38/R0s l9yPCMXWI/lg1jud/sACBz3um1JbL1qHe9GbQFBGsxoXlqoEhoRT6H9PTivrGneT zPVh9WTtLNw= =aVXy -----END PGP SIGNATURE----- ----- End forwarded message -----