From daniela em ccuec.unicamp.br Tue May 6 13:49:41 2008 From: daniela em ccuec.unicamp.br (Daniela Regina Barbetti Silva) Date: Tue, 06 May 2008 13:49:41 -0300 Subject: [SECURITY-L] Contratacao temporaria de Programadores de Sistemas de Informacao Message-ID: <48208C25.3090904@ccuec.unicamp.br> O Centro de Computacao da Unicamp torna pública a entrega de currículos para a participação no Processo Seletivo para a função de Programador de Sistemas de Informação para atuar junto à Diretoria Técnica de Conectividade, Seção de Redes no projeto de Certificação Digital. A contratação é pelo período determinado de 2 anos podendo ser renovado, uma única vez, por igual período. Período de inscrição: de 5 a 8 de maio de 2008 das 9:00 às 12:00 hs e das 14:00 às 16:30 hs na Recepção do Centro de Computação. O Edital está disponivel no site da DGRH: http://www.dgrh.unicamp.br/concursos_abertos.shtml Atenciosamente, Diretoria Técnica de Conectividade Seção de Redes From security em unicamp.br Fri May 9 09:51:15 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 9 May 2008 09:51:15 -0300 Subject: [SECURITY-L] CAIS-Resumo: Janeiro a Maro de 2008 Message-ID: <20080509125114.GA93290@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Resumo: Janeiro a Março de 2008 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 6 May 2008 17:09:35 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- ======================================================================== CAIS Resumo Alertas, vulnerabilidades e incidentes de segurança Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa Janeiro a março de 2008 ======================================================================== Neste CAIS Resumo são abordados os alertas, as vulnerabilidades e os demais acontecimentos que se destacaram na área de segurança no primeiro trimestre de 2008. ________________________________________________________________________ DESTAQUES ========= 1. Nos três primeiros meses de 2008, a equipe do CAIS tratou 6.028 incidentes de segurança na sua totalidade. Destes, 88 foram casos de 'phishing', ataques que têm por objetivo básico obter dados confidenciais de usuários. Foram tratados também 296 casos de troca de páginas, nos quais o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado na página atacada. 2. No dia 31 de março, foi anunciado oficialmente o início da operação do catálogo de fraudes on-line, mantido pela RNP, e que permite a pesquisa das fraudes mais comuns recebidas por usuários. O endereço, a partir do site da RNP, é http://www.rnp.br/cais/fraudes.php 3. O término do horário de verão 2007/2008, ocorrido em 17 de fevereiro, foi antecipadamente anunciado pelo CAIS através do envio de um alerta no dia 11/02. O CAIS lembrou à comunidade brasileira a importância do ajuste nos relógios dos sistemas e de se manter a consistência dos logs, aspectos cruciais em qualquer processo de investigação. 4. No dia 11 de fevereiro, foi publicado um alerta sobre uma vulnerabilidade no Adobe Reader que estava sendo amplamente explorada e que resultava em uma condição de negação de serviço (DoS) ou mesmo na infecção do sistema por uma variante do trojan Zonebac. 5. A atividade de exploração de sistemas através de ataque de força-bruta contra o serviço SSH continua a preocupar, em parte pela confirmação de que vários sistemas foram invadidos por ainda utilizarem senhas fracas. ________________________________________________________________________ ALERTAS ======= Nos três primeiros meses de 2008, o CAIS divulgou 24 alertas de segurança através da lista CAIS-Alerta. Abaixo seguem os principais alertas do período. A relação completa dos alertas pode ser encontrada em: http://www.rnp.br/cais/alertas/2008/ A lista de e-mails CAIS-Alerta é aberta ao público e gratuita, e sua assinatura pode ser feita através do endereço http://www.rnp.br/cais/listas.php Vulnerabilidades locais no kernel do Linux Alerta do CAIS 20080213 [CAIS, 13.02.2008] Vulnerabilidades no Adobe Reader sendo exploradas Secunia Advisory (SA28802) [CAIS, 11.02.2008] Término do Horário de Verão 2007/2008 Alerta do CAIS 20080211 [CAIS, 11.02.2008] ________________________________________________________________________ CAIS NA MÍDIA ============= A seguir, são listadas matérias e entrevistas relacionadas aos temas destacados anteriormente e que contaram com a participação da equipe do CAIS: 35 mil é o número aproximado de ocorrências... [Folha de S. Paulo, 06.02.2008] http://www1.folha.uol.com.br/fsp/informat/fr0602200802.htm Incidentes de segurança na rede diminuem 49,6% em 2007 [tiinside.com.br, 08.02.2008] http://www.tiinside.com.br/Filtro.asp?C=265&ID=85084 Incidentes na rede acadêmica caem pela metade [Agência Fapesp, 11.02.2008] http://www.agencia.fapesp.br/boletim_dentro.php?id=8391 Phishing: todo cuidado ainda é pouco! Catálogo online de fraudes virtuais que está sendo lançado hoje promete se tornar grande aliado dos internautas [O Estado de S. Paulo, 31.03.2008] http://www.link.estadao.com.br/index.cfm?id_conteudo=13381 Novo site traz informações atualizadas sobre fraudes online [Terra, 31.03.2008] http://tecnologia.terra.com.br/interna/0,,OI2720405-EI4805,00.html ________________________________________________________________________ ESTATÍSTICAS ============ Segue uma análise comparativa das estatísticas de incidentes reportados ao CAIS no primeiro trimestre de 2008 com dados da mesma época de anos anteriores. - ----------------------------- Mês 2006 2007 2008 - ----------------------------- Jan 5.597 2.615 1.766 Fev 6.725 3.104 1.786 Mar 7.384 3.846 2.476 - ----------------------------- TOTAL 19.706 9.565 6.028 A tendência de diminuição no número de incidentes de segurança ocorridos na rede acadêmica brasileira se reflete no número de incidentes tratados pelo CAIS no primeiro trimestre de 2008. Foram 3.537 incidentes a menos que no primeiro trimestre de 2007 (redução de 37%), somando um total de 6.028 incidentes tratados. Observa-se também que a queda no número de incidentes na comparação entre o primeiro trimestre de 2007 com o de 2008 (37%) foi consideravelmente menor que a queda observada entre os anos de 2006 e 2007 (51%). Isso se deve à consolidação das ações pró-ativas realizadas pelo CAIS e erradicação das máquinas infectadas na rede Ipê (da RNP). - ------------------------------------------------------ Trimestre #incidentes Trimestre #incidentes anterior atual - ------------------------------------------------------ Out/2007 2.615 Jan/2008 1.766 Nov/2007 2.668 Fev/2008 1.786 Dez/2007 2.153 Mar/2008 2.476 - ------------------------------------------------------ TOTAL 7.436 6.028 Média 2.479 2.009 A média de incidentes deste primeiro trimestre de 2008 caiu em 470 incidentes, se comparada ao último trimestre de 2007 (queda de 19%). Isso comprova o processo de suavização na queda do número de incidentes que gradualmente está ocorrendo na Rede Nacional de Ensino e Pesquisa (RNP). - --------------------------- Média mensal de incidentes (nos últimos anos) - --------------------------- Ano #incidentes - --------------------------- 2008 2.009 2007 3.188 2006 5.901 2005 5.110 Observa-se uma sensível redução na média mensal de 2008 em comparação com os dois anos anteriores. Isto certamente se deve a uma maior capacidade de identificação dos sistemas comprometidos e a uma maior preocupação das instituições em preservar a operação e integridade das suas redes. ________________________________________________________________________ NOTAS ===== O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo. Assim, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizados pelos fabricantes e órgãos de renome na área de segurança. ======================================================================== ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSCC7Bekli63F4U8VAQFxOgQAhJ5MLbUATvkFBM3LHIKrxGjvz3e7lH7Y WJvRALkRoqQwOrxOm2syfG04GY28eEkGEvR0A58jdPTk0Q3fSlIM2HXrrL1fA1sm IbIvdGRImr2+ClWFGin9djhRLOkI+WqU50gPQQMRlSr+w5Jaq7jC3mBg1xNgeNuY MM3kbWhhWus= =q4nd -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed May 14 09:39:36 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 May 2008 09:39:36 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA08-134A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20080514123936.GA88923@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA08-134A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 13 May 2008 15:44:00 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA08-134A Microsoft Updates for Multiple Vulnerabilities Original release date: May 13, 2008 Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows * Microsoft Office * Microsoft Jet Database Engine * Microsoft Windows Live OneCare * Microsoft Antigen * Microsoft Windows Defender * Microsoft Forefront Security Overview Microsoft has released updates that address vulnerabilities in Microsoft Windows, Office, Jet Database Engine, Windows Live OneCare, Antigen, Windows Defender, and Forefront Security. I. Description Microsoft has released updates to address vulnerabilities that affect Microsoft Windows, Office, Jet Database Engine, Windows Live OneCare, Antigen, Windows Defender, and Forefront Security as part of the Microsoft Security Bulletin Summary for May 2008. The most severe vulnerabilities could allow a remote, unauthenticated attacker to execute arbitrary code. For more information, see the US-CERT Vulnerability Notes Database. II. Impact A remote, unauthenticated attacker could execute arbitrary code, gain elevated privileges, or cause a denial of service. III. Solution Apply updates from Microsoft Microsoft has provided updates for these vulnerabilities in the May 2008 Security Bulletin Summary. The security bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. Administrators should consider using an automated update distribution system such as Windows Server Update Services (WSUS). IV. References * US-CERT Vulnerability Notes for Microsoft May 2008 updates - * Microsoft Security Bulletin Summary for May 2008 - * Microsoft Update - * Windows Server Update Services - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA08-134A Feedback VU#534907" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2008 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History May 13, 2008: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iQEVAwUBSCnrE/RFkHkM87XOAQJAoAf/XrkJlT9AS30/CZwAMO9qta8TbtLQTZR3 /yAV/h2CmOKhFsbjdh8L4+GcP0n66twWhmMBfBs6BosOoaqqhkeJcE6JoyQ2Kso1 MnhXjPJuGtgEPcfYX9bg42rnZ5WDXGh9EuhoZVyUV4UeUQ8qRM8LL3OIWBHubE7R fcOqIVDz/qtCC1U+RUdrbdeV8XB48mshiLoWjxzOT0FzeOKsBwsyHzaO5mAeEy4E 1hsLC2u4idGlq9Ezl82XODyH6vtHBKq7yKDv+FkVHbCqwB+thqPkUo2es+amASra shcJggg39WWmPWphqnBz94rkdwitsvW3ymOWt1F27GecX1sveofLDQ== =rhf4 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed May 14 09:40:11 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 May 2008 09:40:11 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidades no Microsoft Word (MS08-026) Message-ID: <20080514124011.GB88923@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidades no Microsoft Word (MS08-026) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 13 May 2008 17:31:49 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Microsoft, intitulado "MS08-026 - Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (951207)" , que trata de diversas vulnerabilidades no Microsoft Word. As vulnerabilidades corrigidas por esta atualizacao existem devido 'a maneira como o Microsoft Word trata arquivos Rich Text Format (.rtf) e Word (.doc e .docx). Caso um atacante consiga explorar com sucesso esta vulnerabilidade, ou seja, fazer com que o usuario de um sistema vulneravel abra um arquivo Word criado para explorar estas vulnerabilidades, ele podera obter controle total sobre o sistema afetado. Quanto maior for o grau de privilegio do usuario no sistema utilizado para abrir o arquivo Word malicioso maior e' a possibilidade de acoes maliciosas no sistema afetado. As vulnerabilidades sao classificadas como criticas e por isso o CAIS recomenda a aplicacao imediata da atualizacao. Sistemas afetados: . Microsoft Word 2000 Service Pack 3 . Microsoft Word 2002 Service Pack 3 . Microsoft Word 2003 Service Pack 2 . Microsoft Word 2003 Service Pack 3 . Microsoft Word 2007 . Microsoft Outlook 2007 . Microsoft Word 2007 Service Pack 1 . Microsoft Outlook 2007 Service Pack 1 Correcoes disponiveis: Recomenda-se fazer a atualizacao para as versoes disponiveis em: . Microsoft Word 2000 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=9215ff71-38c0-416a-b89a-fe3474160f41 . Microsoft Word 2002 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=b348a518-221e-4567-a797-999715a8b2ef . Microsoft Word 2003 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=bc33d144-f917-47b8-961f-744ca847e14c . Microsoft Word 2003 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=bc33d144-f917-47b8-961f-744ca847e14c . Microsoft Word 2007 http://www.microsoft.com/downloads/details.aspx?FamilyId=071ceaa2-12e3-4401-9331-2a54a93e2550 . Microsoft Outlook 2007 http://www.microsoft.com/downloads/details.aspx?FamilyId=071ceaa2-12e3-4401-9331-2a54a93e2550 . Microsoft Word 2007 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=071ceaa2-12e3-4401-9331-2a54a93e2550 . Microsoft Outlook 2007 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=071ceaa2-12e3-4401-9331-2a54a93e2550 Mais informacoes: . MS08-026 - Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (951207) http://www.microsoft.com/technet/security/Bulletin/MS08-026.mspx . SANS ISC Handler's Diary 2008-05-13: May 2008 black tuesday overview http://www.dshield.org/diary.html?storyid=4411 . Microsoft Brasil Security http://www.microsoft.com/brasil/security . Technet Brasil - Central de Seguranca http://www.technetbrasil.com.br/seguranca . Windows Live OneCare http://safety.live.com/site/pt-BR/default.htm Identificador CVE (http://cve.mitre.org): CVE-2008-1091, CVE-2008-1434 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSCn6u+kli63F4U8VAQE4JwP/V9ifNFUDa5J2AO8sC/elpVqENkuMUdkb dfYJ5AAhtq+MGcwkc+cfy2M6fEw63IaIroBZ+aiMK3NFCVtYj3megJUJo6fDV4kb gbtdzML7EMcdMnq0BmYYHSLTXB1P5KlxI9YANNuwI9WippaKkIQSfZxcwE10VsN5 O3rIvRXkH4Y= =R0/k -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed May 14 09:40:41 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 May 2008 09:40:41 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Microsoft Publisher (MS08-027) Message-ID: <20080514124039.GC88923@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Microsoft Publisher (MS08-027) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 13 May 2008 17:37:10 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Microsoft, intitulado "MS08-027 - Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (951208)" , que trata de uma vulnerabilidade no Microsoft Publisher. O Microsoft Publisher e' um aplicativo voltado para usuarios domesticos que ajuda na criacao de publicacoes e materiais de marketing. Este aplicativo normalmente e' incluido somente no pacote Microsoft Office Professional. Esta vulnerabilidade esta' presente na maneira como o Microsoft Publisher valida dados do cabecalho de um objeto, um componente de um arquivo Publisher. Caso um atacante consiga explorar com sucesso esta vulnerabilidade, ou seja, fazer com que o usuario de um sistema vulneravel abra um arquivo Publisher criado para explorar esta vulnerabilidade, ele podera obter controle total sobre o sistema afetado. Quanto maior for o privilegio do usuario do sistema utilizado para abrir o arquivo Publisher malicioso maior e' a possibilidade de acoes maliciosas no sistema afetado. A vulnerabilidade e' classificadas como critica e por isso o CAIS recomenda a aplicacao imediata da atualizacao. Sistemas afetados: . Microsoft Publisher 2000 Service Pack 3 . Microsoft Publisher 2002 Service Pack 3 . Microsoft Publisher 2003 Service Pack 2 . Microsoft Publisher 2003 Service Pack 3 . Microsoft Publisher 2007 . Microsoft Publisher 2007 Service Pack 1 Correcoes disponiveis: Recomenda-se fazer a atualizacao para as versoes disponiveis em: . Microsoft Publisher 2000 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=8675b9b6-fbf0-4ad2-9210-285e2cc10556 . Microsoft Publisher 2002 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=df623784-6e26-42c0-9e21-e7960b849e1e . Microsoft Publisher 2003 Service Pack 2 http://www.microsoft.com/downloads/details.aspx?FamilyId=c18b060b-9828-4952-8e80-5328c0832d83 . Microsoft Publisher 2003 Service Pack 3 http://www.microsoft.com/downloads/details.aspx?FamilyId=c18b060b-9828-4952-8e80-5328c0832d83 . Microsoft Publisher 2007 http://www.microsoft.com/downloads/details.aspx?FamilyId=e4b647c2-79a3-49e0-9b1d-741667fdbcca . Microsoft Publisher 2007 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=e4b647c2-79a3-49e0-9b1d-741667fdbcca Mais informacoes: . MS08-027 - Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (951208) http://www.microsoft.com/technet/security/Bulletin/MS08-027.mspx . SANS ISC Handler's Diary 2008-05-13: May 2008 black tuesday overview http://www.dshield.org/diary.html?storyid=4411 . Microsoft Brasil Security http://www.microsoft.com/brasil/security . Technet Brasil - Central de Seguranca http://www.technetbrasil.com.br/seguranca . Windows Live OneCare http://safety.live.com/site/pt-BR/default.htm Identificador CVE (http://cve.mitre.org): CVE-2008-0119 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSCn7+ukli63F4U8VAQFiQAQAthN3u0B+D3Fnde4o4sStVCHfuI1vuPTi ntrVhEy98avkwdIYtTqOy35JSLrZ5TvKlHMurLbEPpbjddfiGkymbDdP1U1wRruJ E+e3NCQiT2pn0Vi/yHb8vclxJaygHAH+l6p0QaIjJb6pauo/4qSDUWgzEN0Xf9qY KBtQFXCY7B8= =B3fM -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed May 14 09:41:20 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 May 2008 09:41:20 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidades no Microsoft Malware Protection Engine (MS08-029) Message-ID: <20080514124109.GD88923@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidades no Microsoft Malware Protection Engine (MS08-029) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 13 May 2008 17:45:09 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Microsoft, intitulado "MS08-029 - Vulnerabilities in Microsoft Malware Protection Engine Could Allow Denial of Service (952044)", que trata de duas vulnerabilidades reportadas privativamente no Microsoft Malware Protection Engine, parte de diversos produtos da Microsoft. Ambas vulnerabilidades podem ser exploradas atraves da criacao de um arquivo malicioso especialmente construido. Em um dos casos, o Malware Protection Engine para de responder ao processar o arquivo e reinicia automaticamente. No segundo caso, alem de parar de responder, a vulnerabilidade tambem causa a exaustao do espaco em disco da maquina. Sistemas afetados: . Windows Live OneCare . Microsoft Antigen for Exchange . Microsoft Antigen for SMTP Gateway . Microsoft Windows Defender . Microsoft Forefront Client Security . Microsoft Forefront Security for Exchange Server . Microsoft Forefront Security for SharePoint . Standalone System Sweeper localizado em Diagnostics and Recovery Toolset 6.0 Correcoes disponiveis: De acordo com o fabricante, os produtos vulneraveis tem um mecanismo automatico de verificacao e instalacao de atualizacoes, nao sendo necessario realizar a instalacao manual de nenhuma atualizacao. No entanto recomenda-se verificar se o Windows esta configurado para realizar atualizacoes automaticas. Caso contrario o usuario precisa habilitar essa opcao. Mais informacoes: . MS08-029 - Vulnerabilities in Microsoft Malware Protection Engine Could Allow Denial of Service (952044) http://www.microsoft.com/technet/security/Bulletin/MS08-029.mspx . Microsoft Brasil Security http://www.microsoft.com/brasil/security . SANS ISC Handler's Diary 2008-05-13: May 2008 black tuesday overview http://www.dshield.org/diary.html?storyid=4411 . Technet Brasil - Central de Seguranca http://www.technetbrasil.com.br/seguranca . Windows Live OneCare http://safety.live.com/site/pt-BR/default.htm Identificador CVE (http://cve.mitre.org): CVE-2008-1437, CVE-2008-1438 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSCn92ukli63F4U8VAQFSqQP/ZWlrF5NZuSxjK1eopgkr3o6W7ptKcBZx col31fSJvi1l9wrc7W/z4ar3M43mZmfLxzu59TG8zmGbHynY7n4ZwxxA/Es3Wv62 SIyzfPSTtEDSYFPEqdB/xc9ndJCaCtK+YIYOK1Qz5aZ4blDdOWivzWAKZiizCBCA 8SxSt55cVPo= =7Zl2 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed May 14 09:41:56 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 May 2008 09:41:56 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no gerador de numeros aleatorios do OpenSSL Message-ID: <20080514124144.GE88923@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no gerador de numeros aleatorios do OpenSSL To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 13 May 2008 17:51:01 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta do Debian intitulado "DSA-1571-1 openssl - - predictable random number generator", que trata de uma vulnerabilidade no gerador de numeros aleatorios da biblioteca OpenSSL presente em sistemas Debian e derivados. A biblioteca OpenSSL e' utilizada por diversas ferramentas para oferecer servicos de criptografia de conexoes, geracao de certificados e chaves criptograficas. Devido a uma modificacao introduzida pelo Debian no pacote OpenSSL original, existe uma vulnerabilidade na geracao de numeros aleatorios, o que faz com que essas aplicacoes gerem sempre um numero limitado e pequeno de chaves criptograficas. Com isso um atacante de posse de uma lista dessas chaves pode realizar ataques de forca bruta contra as aplicacoes e conseguir acesso ao conteudo criptografado. E' importante notar que esta vulnerabilidade existe apenas no pacote distribuido com o Debian e seus derivados, como o Ubuntu. Pacotes vulneraveis incluem o OpenSSH, OpenVPN, certificados X.509 gerados com as ferramentas OpenSSL, entre outros. Esta atualizacao tambem corrige outras duas vulnerabilidades detectadas no pacote OpenSSL, sendo que uma delas permite a um atacante executar codigo malicioso remotamente em sistemas vulneraveis. Sistemas afetados: . Pacote Debian Stable do OpenSSL anteriores a 0.9.8c-4etch3 . Pacote Debian Unstable do OpenSSL anteriores a 0.9.8g-9 Correcoes disponiveis: Recomenda-se fazer a atualizacao para as versoes disponiveis em: (Verifique a versao correta para seu sistema) . http://security.debian.org/pool/updates/main/o/openssl/ Alem disso, recomenda-se recompilar todas as aplicacoes que utilizam o pacote vulneravel e gerar novamente todas as chaves e certificados gerados com o OpenSSL superior a OpenSSL 0.9.8c-1. Mais informacoes: . Debian Security Advisory DSA-1571-1 - openssl -- predictable random number generator http://www.debian.org/security/2008/dsa-1571 . Ubuntu Security Notice USN-612-1 - OpenSSL vulnerability http://www.ubuntu.com/usn/USN-612-1 . SANS ISC Handler's Diary 2008-05-13 - OpenSSH: Predictable PRNG in debian and ubuntu Linux http://isc.sans.org/diary.html?storyid=4414 Identificador CVE (http://cve.mitre.org): CVE-2008-0166 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSCn/Oukli63F4U8VAQGKZgP/dXTkVJB1hrQ4B4WMEb2g/x8oxHJdr1ni ed1uXW9mE7MqdJsS5SXOG1H2uzRt3PEAbIaXsCYMvGyxiVJYMQTTqoYaywReVlRA fcIUvo/JQ2UUDM3lsuSrAXrm4ICOSQPp+t0Ncs5OCpUMep4zvquohXTvHZPNek3N h81xVdP0K0Q= =8MRU -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed May 14 09:42:30 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 May 2008 09:42:30 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidades no Microsoft Jet Database Engine (MS08-028) Message-ID: <20080514124221.GF88923@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidades no Microsoft Jet Database Engine (MS08-028) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 13 May 2008 17:56:05 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS esta' repassando o alerta da Microsoft, intitulado "MS08-028 - Vulnerability in Microsoft Jet Database Engine Could Allow Remote Code Execution (950749)", que trata de uma vulnerabilidade recem-descoberta no Microsoft Jet Database Engine. O Jet Database Engine (Jet) e' um engine de banco de dados utilizado por diversas ferramentas da Microsoft. Uma vulnerabilidade de estouro de buffer existe na forma como o Jet processa consultas enviadas a partir de aplicacoes que estejam utilizando acesso a banco de dados. Um atacante pode criar um arquivo de alguma das aplicacoes vulneraveis com uma consulta especialmente montada, e com isso obter o controle total sobre o sistema. Usuarios que acessam o sistema sem permissoes de administrador tem menos possibilidades de serem explorados do que aqueles que acessam como administrador. Sistemas afetados: . Microsoft Windows 2000 Service Pack 4 . Windows XP Service Pack 2 . Windows XP Professional x64 Edition . Windows Server 2003 Service Pack 1 . Windows Server 2003 x64 Edition . Windows Server 2003 com SP1 para sistemas baseados em Itanium Correcoes disponiveis: Recomenda-se fazer a atualizacao para as versoes disponiveis em : . Microsoft Windows 2000 Service Pack 4 http://www.microsoft.com/downloads/details.aspx?familyid=0de12d09-e675-4cf0-bc6f-e42eeb4784a1 . Windows XP Service Pack 2 http://www.microsoft.com/downloads/details.aspx?familyid=3247433f-0aa9-49b8-9e40-c5463a95bcff . Windows XP Professional x64 Edition http://www.microsoft.com/downloads/details.aspx?familyid=4915ebc4-5e7b-493e-b8c4-321d40d9a701 . Windows Server 2003 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?familyid=86e3ed62-98f7-46ec-96ab-5e8c123b1288 . Windows Server 2003 x64 Edition http://www.microsoft.com/downloads/details.aspx?familyid=5dfc867b-74b7-4818-9fc2-d71e7c9d2e38 . Windows Server 2003 com SP1 para sistemas baseados em Itanium http://www.microsoft.com/downloads/details.aspx?familyid=3452119b-ba4c-4272-82ec-97396b2c2c3d Mais informacoes: . MS08-028 - Vulnerability in Microsoft Jet Database Engine Could AllowRemote Code Execution (950749) http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx . Microsoft Brasil Security http://www.microsoft.com/brasil/security . SANS ISC Handler's Diary 2008-05-13: May 2008 black tuesday overview http://www.dshield.org/diary.html?storyid=4411 . Technet Brasil - Central de Seguranca http://www.technetbrasil.com.br/seguranca . Windows Live OneCare http://safety.live.com/site/pt-BR/default.htm Identificador CVE (http://cve.mitre.org): CVE-2007-6026 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSCoAbOkli63F4U8VAQHJBgQAtdv6EA2CXob0IrkKzn1efOLiQuw28t5r YEf2LE5f+KQQe8qrWeNzOs3XYsVNkPyn/Jp73PSJAq30G/1FCzBhovnBUB9lqhnO F4/E7DpVKKyS6/sScud+QX0met4fRIkxRMbWf4E/w4QiIgmgPHkqQPMtJQLbCOI1 E5gqicy7CSM= =pZFz -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon May 19 09:19:24 2008 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 19 May 2008 09:19:24 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA08-137A -- Debian/Ubuntu OpenSSL Random Number Generator Vulnerability Message-ID: <20080519121914.GA1124@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA08-137A -- Debian/Ubuntu OpenSSL Random Number Generator Vulnerability To: technical-alerts em us-cert.gov Date: Fri, 16 May 2008 14:17:29 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA08-137A Debian/Ubuntu OpenSSL Random Number Generator Vulnerability Original release date: May 16, 2008 Last revised: -- Source: US-CERT Systems Affected * Debian, Ubuntu, and Debian-based distributions Overview A vulnerability in the OpenSSL package included with the Debian GNU/Linux operating system and its derivatives may cause weak cryptographic keys to be generated. Any package that uses the affected version of SSL could be vulnerable. I. Description A vulnerabiliity exists in the random number generator used by the OpenSSL package included with the Debian GNU/Linux, Ubuntu, and other Debian-based operating systems. This vulnerability causes the generated numbers to be predictable. The result of this error is that certain encryption keys are much more common than they should be. This vulnerability affects cryptographic applications that use keys generated by the flawed versions of the OpenSSL package. Affected keys include, but may not be limited to, SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections. Any of these keys generated using the affected systems on or after 2006-09-17 may be vulnerable. Keys generated with GnuPG, GNUTLS, ccrypt, or other encryption utilities that do not use OpenSSL are not vulnerable because these applications use their own random number generators. II. Impact A remote, unauthenticated attacker may be able to guess secret key material. The attacker may also be able to gain authenticated access to the system through the affected service or perform man-in-the-middle attacks. III. Solution Upgrade Debian and Ubuntu have released fixed versions of OpenSSL to address this issue. System administrators can use the ssh-vulnkey application to check for compromised or weak SSH keys. After applying updates, clients using weak keys may be refused by servers. Workaround Until updates can be applied, administrators and users are encouraged to restrict access to vulnerable servers. Debian- and Ubuntu-based systems can use iptables, iptables configuration tools, or tcp-wrappers to limit access. IV. References * DSA-1571-1 openssl - predictable random number generator - * Debian wiki - SSL keys - * Ubuntu OpenSSL vulnerability - * Ubuntu OpenSSH vulnerability - * Ubuntu OpenVPN vulnerability - Ubuntu SSL-cert vulnerability * Ubuntu OpenSSH update - * Ubuntu OpenVPN regression - * OpenVPN regression - _________________________________________________________________ The most recent version of this document can be found at: _________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA08-137A Feedback VU#925211" in the subject. _________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . _________________________________________________________________ Produced 2008 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History May 16, 2008: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iQEVAwUBSC3OLvRFkHkM87XOAQIY6Qf/RywAJKkMBte71mgV+XKHOFH9yLy+vOGs HlC35oyfpijFSPI1TyYpN9vvpvfhL8DDDG6/dNBt+u1uVskcurb5Rh1UMmpEEFg0 kVGos6JDD18T6JpfgvEY9k+4iVAGApNirEYRDsKFVRho/3CaJQ6Tdp/jf3NEzmNE DPgsEA0n825kBd0dr/v3yT5S9wYsn5x9n6OfyHShXVwYPK/V3jEXbU0uZo0Nt7HX L0FIVTz5tMWIm1LoTsh+GeE0dsnsg/0+qf1jRRq66GQ+3eMGO/wepTbUmqGCXF0s I+O756V/mDxrPePJRNcpCjtGZCEjtMNJ4fZPQhosxbNVPpvDV5rGlQ== =93LZ -----END PGP SIGNATURE----- ----- End forwarded message -----