From security em unicamp.br  Mon Oct  6 12:01:30 2008
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Mon, 6 Oct 2008 12:01:30 -0300
Subject: [SECURITY-L] CAIS-Alerta: Alteracoes de configuracao necessarias
	para o Horario de Verao 2008/2009
Message-ID: <20081006150129.GA13358@unicamp.br>

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Alteracoes de configuracao necessarias para o Horario
 de Verao 2008/2009
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 3 Oct 2008 15:48:23 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

Como foi devidamente anunciado pelo CAIS, o horario de verao 2008/2009 
tera' inicio em 19 de outubro de 2008 e termino em 15 de fevereiro de 
2009. Com isto, algumas configuracoes nos sistemas sao necessarias.

O horario de verao tem relacao com o timezone (fuso horario) configurado 
no sistema. Ao alterar o timezone altera-se o parametro do sistema que 
determina a diferenca em horas entre o horario absoluto (UTC / GMT 0) e o 
horario local.

E' bom lembrar que os fusos horarios brasileiros foram modificados pela 
Lei no. 11.662 de 24 de abril de 2008.

 Lei No. 11.662, de 24 de abril de 2008.
 http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2008/Lei/L11662.htm

Se o relogio do sistema (horario absoluto) marca 16:00:00 UTC, ajustado 
por NTP, temos:

. Para o timezone do Brasilia (GMT-3), o horario mostrado ao
 usuario sera' 13:00h ou GMT-3 (hora local)

. Para o timezone de Paris (Franca - GMT+1) o horario mostrado ao usuario
 sera' 17:00h ou GMT+1 (hora local)

Nenhuma modificacao na configuracao do servico de NTP e' necessaria. 
Entretanto, deve-se tomar um cuidado especial com os *servidores* NTP 
(Stratum 1, Stratum 2 e outros) quando ocorrerem modificacoes de 
configuracao para o horario de verao. Caso o servidor NTP detecte uma 
diferenca maior do que 20 minutos entre o horario do sistema (horario 
absoluto) e o horario registrado pelo servidor NTP (ntpd, OpenNTPD), o 
servico NTPD podera' parar. Assim, deve-se redobrar a atencao durante o 
processo de configuracao do horario de verao em hosts que proveem este 
servico.

Lembramos tambem que para algumas versoes de Linux/Unix podera' ser 
necessario reiniciar o daemon "cron" apos o inicio do horario de verao, de 
forma que as tarefas agendadas atraves do Cron possam continuar a ser 
executadas no horario correto. Para mais informacoes, verifique o manual 
do "cron" e "crontab" do seu sistema.

A seguir sao descritos os procedimentos de atualizacao do localtime em 
sistemas FreeBSD, GNU/Linux, Solaris, AIX e Windows, bem como em alguns 
equipamentos Cisco que usam o IOS. Antes de prosseguir com estes 
procedimentos e' preciso que se saiba de antemao o timezone da sua regiao.

Para mais informacoes sobre os fusos horarios do Brasil por favor consulte 
o site da Agencia Nacional de Energia Eletrica - ANEEL:

. ANEEL - Informacoes Tecnicas - Horario de Verao
 http://www.aneel.gov.br/65.htm


1. CISCO IOS
2. GNU/LINUX
3. FREEBSD
4. OPENBSD
5. SOLARIS
6. AIX
7. MS WINDOWS


1. CISCO IOS

Nos arquivos de configuracao dos roteadores Cisco sera' preciso incluir
(ou atualizar) as seguintes linhas:

clock timezone GMT-3 -3
clock summer-time GMT-2 date Oct 19 2008 0:00 Feb 15 2009 0:00

Os logs gerados pelo Cisco passarao a informar a hora como GMT-2, que e' a 
nova configuracao do timezone.


2. GNU/LINUX

Usuarios de sistemas baseados em GNU/Linux devem seguir o procedimento 
abaixo:


1. Verificar a existencia do arquivo '/etc/localtime'. Se este arquivo
  existir verifique se ele e' um link simbolico. Uma das formas de
  fazer esta verificacao e' executar o seguinte comando:

  $ file /etc/localtime
  localtime: timezone data

  A saida acima indica que trata-se do proprio arquivo com dados de
  timezone. A saida abaixo indica um link para o arquivo.

  $ file /etc/localtime
  localtime: symbolic link to `/etc/localtime'

  Nao e' recomendado possuir o arquivo /etc/localtime como link
  simbolico. Sistemas cujo diretorio /usr e' acessivel (nao tiver sido
  montado, por exemplo) no momento de inicializacao da maquina, os
  dados do arquivo localtime nao serao lidos.


2. Verificar se existe no diretorio /usr/share/zoneinfo/Brazil algum
  arquivo que contenha informacoes relativas a outros horarios de
  verao. Normalmente este arquivo tem extensao ZIC (.zic).

  a) Se nao existir um arquivo com tais dados entao crie um
     novo, de nome 'verao.2008.zic' por exemplo, no diretorio
     /usr/share/zoneinfo/Brazil/. Este arquivo devera' conter as seguintes
     linhas:

     Rule Brazil  2008    only     -       Oct    19   00:00   1       S
     Rule Brazil  2009    only     -       Feb    15   00:00   0       -

     Zone    Brazil/East             -3:00   Brazil          BR%sT

  b) Se existir um arquivo com dados de horario de verao de
     outros anos, basta inserir as linhas acima ao final do arquivo
     existente.

  As duas primeiras linhas de configuracao acima informam quando se
  inicia o horario de verao, quando termina, e qual e' a acao tomada.
  Lembre-se de que no inicio do horario de verao a hora local e'
  acrescida em uma (1) hora.

  A ultima linha diz qual arquivo sera' modificado pelo comando
  'zic'. No exemplo acima, sera' o arquivo 'East' (dentro do diretorio
  Brazil). Esta linha tambem informa qual o timezone original da regiao
  - no caso de Sao Paulo (East) temos UTC-3. Caso voce esteja utilizando
  um timezone diferente do adotado em Sao Paulo (East), modifique estes
  parametros para o timezone de sua regiao:


  #Fuso horario do Arquipelago de Fernando de Noronha:
  Zone    Brazil/DeNoronha     -2:00   Brazil          FN%sT

  #Fuso horario dos estados a Leste
  Zone    Brazil/East          -3:00   Brazil          BR%sT

  #Fuso horario dos estados a Oeste (AC, AM, RO, RR, MS, MT)
  Zone    Brazil/West          -4:00   Brazil          AM%sT


  * Parametros definidos pela glibc presente em sistemas Linux,
    disponivel para download em http://www.gnu.org/


3. Uma vez feitos os devidos ajustes no arquivo 'verao.2008.zic' execute o
  comando 'zic':

   # zic verao.2008.zic

  Neste caso em particular o comando atualizara' o arquivo East.


4. Para verificar se as configuracoes corretas foram feitas, execute o
  comando 'zdump', conforme segue abaixo (troque East pelo timezone de
  sua regiao):

   # zdump -v Brazil/East | grep 200[89]

  Voce devera obter uma resposta como a que segue abaixo:

    Brazil/East Sun Oct 19 02:59:59 2008 UTC = Sat Oct 18 23:59:59 2008 BRT 
    isdst=0 gmtoff=-10800
    Brazil/East Sun Oct 19 03:00:00 2008 UTC = Sun Oct 19 01:00:00 2008 BRST 
    isdst=1 gmtoff=-7200
    Brazil/East Sun Feb 16 01:59:59 2009 UTC = Sat Feb 15 23:59:59 2009 BRST 
    isdst=1 gmtoff=-7200
    Brazil/East Sun Feb 16 02:00:00 2009 UTC = Sat Feb 15 23:00:00 2009 BRT 
    isdst=0 gmtoff=-10800


  Note que em "Sat Oct 18 23:59:59 2008 BRT" o sistema ainda nao esta no
  horario de verao (indicacao 'BRT'). No segundo seguinte as
  modificacoes do horario de verao entram em vigor, adiantando o
  localtime em uma hora: "Sun Oct 19 01:00:00 2008 BRST" (O horario
  mostrado ao usuario passara' para 1 da manha, e nao para meia-noite,
  mostrando o adiantamento do horario).

  Em "Sat Feb 14 23:59:59 2009 BRST", o horario de verao terminara' no
  segundo seguinte, com o localtime sendo entao atrasado em 1 hora: "Sat
  Feb 14 23:00:00 2009 BRT" (o horario mostrado ao usuario voltara' para
  as 23:00).


5. Por ultimo, se o arquivo /etc/localtime nao for um link para o
  arquivo /usr/share/zoneinfo/Brazil/East, deve-se copiar o arquivo East
  para /etc/localtime

  $ cp East /etc/localtime


3. FREEBSD

Usuarios do sistema FreeBSD devem proceder da mesma forma que usuarios 
GNU/Linux. A unica diferenca esta' no diretorio onde devera' ser criado o 
arquivo 'verao.2008.zic' - /usr/share/zoneinfo. As linhas a serem 
incluidas neste arquivo, assim como em sistemas GNU/Linux, sao:


 Rule Brazil  2008    only     -       Oct     19   00:00   1       S
 Rule Brazil  2009    only     -       Feb     15   00:00   0       -

 Zone    hv2008             -3:00   Brazil          BR%sT


No exemplo acima, o nome 'hv2008' representa o arquivo que sera' criado ao 
executar o comando:

 # zic verao.2008.zic

O arquivo contera' as informacoes do horario de verao e devera' ser 
copiado sobre /etc/localtime, lembrando que sera' preciso fazer uma copia 
de seguranca do arquivo /etc/localtime antes de sobrescreve-lo.


4. OPENBSD

Usuarios do sistema OpenBSD devem proceder da mesma forma que usuarios 
GNU/Linux.


5. SOLARIS

Usuarios de Solaris devem seguir o procedimento abaixo:

1. Verificar o zoneinfo respectivo. O arquivo /etc/TIMEZONE contem as
  informacoes relativas a qual arquivo sera' consultado para verificar o
  zoneinfo.

   # more /etc/TIMEZONE

   TZ=Brazil/East

  No exemplo acima, devera' ser consultado o arquivo East, no diretorio
  Brazil. Por padrao, este diretorio deve estar em
  /usr/share/lib/zoneinfo.


2. Verificar se existe no diretorio /usr/share/lib/zoneinfo algum arquivo
  em formato texto que contenha informacoes relativas a outros horarios
  de verao (DICA: geralmente um arquivo com extensao .zic)

  a) Se nao existir nenhum arquivo com tais informacoes, devera' ser
     criado um novo arquivo, de nome 'brazil.zic' por exemplo, e
     inserir as seguintes linhas.

      Rule Brazil  2008    only     -       Oct     19   00:00   1       S
      Rule Brazil  2009    only     -       Feb     15   00:00   0       -

      Zone    Brazil/East             -3:00   Brazil          BR%sT


  b) Se existir um arquivo com informacoes de horario de verao de outros
     anos basta inserir as linhas acima.


  As duas primeiras linhas informam quando inicia o horario de
  verao, quando termina e qual a acao a ser tomada. Lembre-se de que no
  inicio do horario de verao deve ser adicionada uma hora.

  A ultima linha diz qual arquivo sera' gerado pelo comando 'zic' - no
  exemplo sera' o arquivo 'East' (dentro do diretorio Brazil). Esta linha
  tambem informa o timezone da regiao, no caso o de Sao Paulo, UTC-3.

  No exemplo que se segue existe um diretorio 'Brazil' dentro de
  /usr/share/lib/zoneinfo que contem um arquivo brazil.zic, que deve ser
  atualizado com as linhas mencionadas acima.


3. Deve-se entao gerar o novo arquivo (em formato binario) como segue:

   # zic brazil.zic


4. Para verificar se as configuracoes foram feitas corretamente, execute o
  comando 'zdump' conforme segue abaixo (troque East pelo timezone de sua
  regiao):

   # zdump -v Brazil/East | grep 200[89]

  Voce devera obter uma resposta como a que segue abaixo:

  Brazil/East Sun Oct 19 02:59:59 2008 UTC = Sat Oct 18 23:59:59 2008 BRT 
  isdst=0
  Brazil/East Sun Oct 19 03:00:00 2008 UTC = Sun Oct 19 01:00:00 2008 BRST 
  isdst=1
  Brazil/East Sun Feb 16 01:59:59 2009 UTC = Sat Feb 15 23:59:59 2009 BRST 
  isdst=1
  Brazil/East Sun Feb 16 02:00:00 2009 UTC = Sat Feb 15 23:00:00 2009 BRT 
  isdst=0


6. AIX

Usuarios de AIX devem alterar o arquivo /etc/environment colocando a
diretiva:

2008: TZ=GRNLNDST3GRNLNDDT,M10.3.0/00:00:00,M2.3.0/00:00:00

Isto indica que o horario de verao se inicia `as 00:00 do terceiro domingo
do mes 10 (19 de outubro) e finaliza `as 00:00 do terceiro domingo do mes
2 (15 de fevereiro) , seguindo a seguinte sintaxe:

2008: TZ=GRNLNDST3GRNLNDDT,Mm.w.wd/00:00:00,Mm.w.wd/00:00:00

 * m - mês ( 1 < m < 12 )
 * w - ocorrencia do dia da semana no mes contados a
	partir do dia 1o. (1 < d < 5)
 * wd - dia da semana ( 0 < n < 5 : Domingo corresponde a 0)
 * hh:mm - horário


7. MS WINDOWS

Em abril de 2008 foi sancionada a lei no. 11.662/08, que reduziu o numero 
de fusos horarios brasileiros para tres. Os fusos horarios dos estados do 
Acre, Amazonas e Amazonas foram afetados. Em agosto a Microsoft 
disponibilizou uma atualizacao cumulativa que trata desta mudanca.

. Microsoft Help and Support: August 2008 cumulative time zone update for    
 Microsoft Windows operating systems
 http://support.microsoft.com/kb/951072

Para sistemas Windows 9*/NT/2000/XP recomenda-se o uso do utilitario 
TZEDIT (tzedit.exe), incluido no CD do Resource Kit que acompanha a 
distribuicao do sistema. Nao existe URL oficial para download deste 
programa no site da Microsoft, mas ele pode ser facilmente encontrado na 
Internet, lembrando que neste ultimo caso *nao* se garante a integridade 
do programa.

Uma segunda opcao para modificacao do timezone em Windows XP e' a 
utilizacao do utilitario 'timezone.exe', disponivel para download em:

. Microsoft Download Center - Windows XP Service Pack 2 Support Tools
 http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=en

OBS: O download e' precedido de um processo de validacao, que verifica se
     sua copia de Microsoft Windows e' genuina.


Administradores de sistemas Windows que queiram automatizar a atualizacao 
do horario de verao podem encontrar mais informacoes em:

. Microsoft Support Knowledge Base - How to configure daylight saving time
 dates for Brazil
 http://support.microsoft.com/?kbid=317211


Para a configuracao de timezone do seu sistema utilizando o comando 
'timezone.exe' siga os seguintes passos:


1. Faca o download do "Windows XP Service Pack 2 Support Tools" e
  instale-o no seu sistema, caso voce nao possua o utilitario
  'timezone.exe'.

2. Em um prompt de comando (cmd.exe) execute, a partir do diretorio
  "Program Files\Support Tools" se foi utilizada a instalacao padrao, o
  seguinte comando:

   C:\Program Files\Support Tools>timezone.exe /s 00:0:3:10  00:0:3:02

  As configuracoes acima seguem o formato:

   Hora:DiaDaSemana:Dia:Mes    Hora:DiaDaSemana:Dia:Mes
   (Inicio horario de verao)   (Fim horario de verao)

   Hora: 		Hora (00 ate 23)
   DiaDaSemana:	Dia da semana (0 - 6 : 0 = Domingo,
                       1 = Segunda, etc)
   Dia: 		Ocorrencia do dia da semana no mes ( 1 - 5 :
                       Exemplo -> no caso do dia da semana ser
                       Terca-Feira:  1 - primeira terca do mes,
       		2 - segunda terca do mes, etc)
   Mes: 		Mes do ano (01 - 12)


3. Execute o seguinte comando para verificar se as modificacoes foram
  corretamente executadas:

   C:\Program Files\Support Tools>timezone.exe /g

   Current Timezone is :

     Daylight Saving Time begins at 00:0:3:10
     Daylight Saving Time ends at 00:0:3:02


4. Configure o sistema para utilizar automaticamente as configuracoes do
  horario de verao:

  . Va' em Start -> Settings -> Control Panel -> Date and Time ->
    Timezone;
  . Certifique-se que voce esta' utilizando o timezone de Brasilia (UTC-0300)
    Brasilia;
  . Certifique-se que a caixa "Automaticamente ajuste o relogio para o
    horario de verao" esta marcada.


Para configuracao de Horario de Verao em sistemas Microsoft Windows Vista
por favor consulte a seguinte pagina da Microsoft:

. Microsoft - Windows - Ajuste o horario de verao do seu Windows
 http://www.microsoft.com/brasil/windows/products/windowsvista/verao.mspx


O CAIS Alerta também é oferecido no formato RSS/RDF: 
http://www.rnp.br/cais/alertas/rss.xml

O CAIS esta' 'a disposicao para esclarecimentos adicionais.

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSOZpB+kli63F4U8VAQGqdgQApoT67QSI4r4RdwqPO+SfoICyRHnBrb29
o6hPBQ/Af5bxJe1swMacPFdC4HVytuiKBsySQ/EOUv3MpOffb/OsEYaV3yzxxKF3
BRZaBlVWB9JfAnKTzF0ogUz/Z0ktKWl/JTtOoOaAs+IMBSKgCN2x76Eppvb+v61J
Qn2oeDJnU3I=
=wlyV
-----END PGP SIGNATURE-----


----- End forwarded message -----


From security em unicamp.br  Wed Oct 15 11:02:12 2008
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Wed, 15 Oct 2008 11:02:12 -0300
Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA08-288A --
	Microsoft Updates for Multiple Vulnerabilities
Message-ID: <20081015140209.GB77461@unicamp.br>

----- Forwarded message from US-CERT Technical Alerts <technical-alerts em us-cert.gov> -----

From: US-CERT Technical Alerts <technical-alerts em us-cert.gov>
Subject: US-CERT Technical Cyber Security Alert TA08-288A -- Microsoft Updates for Multiple Vulnerabilities
To: technical-alerts em us-cert.gov
Date: Tue, 14 Oct 2008 15:50:48 -0400
Organization: US-CERT - +1 202-205-5266


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

        National Cyber Alert System

     Technical Cyber Security Alert TA08-288A


Microsoft Updates for Multiple Vulnerabilities

   Original release date: October 14, 2008
   Last revised: --
   Source: US-CERT


Systems Affected

     * Microsoft Windows
     * Microsoft Internet Explorer
     * Microsoft Office


Overview

   Microsoft has released updates that address vulnerabilities in Microsoft
   Windows, Internet Explorer, and Microsoft Office.


I. Description

   Microsoft has released updates to address vulnerabilities that affect
   Microsoft Windows, Internet Explorer, and Microsoft Office as part of the
   Microsoft Security Bulletin Summary for October 2008. The most severe
   vulnerabilities could allow a remote, unauthenticated attacker to execute
   arbitrary code. For more information, see the US-CERT Vulnerability Notes
   Database.


II. Impact

   A remote, unauthenticated attacker could execute arbitrary code or cause a
   vulnerable application to crash.


III. Solution

   Apply updates from Microsoft
   
   Microsoft has provided updates for these
   vulnerabilities in the October 2008 Security Bulletin Summary. The security
   bulletin describes any known issues related to the updates. Administrators
   are encouraged to note these issues and test for any potentially adverse
   effects. Administrators should consider using an automated update
   distribution system such as Windows Server Update Services (WSUS).


IV. References

_________________________________________________________________

  The most recent version of this document can be found at:

    <http://www.us-cert.gov/cas/techalerts/TA08-288A.html>
_________________________________________________________________

  Feedback can be directed to US-CERT Technical Staff. Please send
  email to <cert em cert.org> with "TA08-288A Feedback " in the
  subject.
_________________________________________________________________

  For instructions on subscribing to or unsubscribing from this
  mailing list, visit <http://www.us-cert.gov/cas/signup.html>.
_________________________________________________________________

  Produced 2008 by US-CERT, a government organization.

  Terms of use:

    <http://www.us-cert.gov/legal.html>
_________________________________________________________________

  Revision History
  
  October 14, 2008: Initial release.
  
 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)

iQEVAwUBSPTb6nIHljM+H4irAQL1Ygf+MU9e3vKkolrjKtVNvhtkWW0lPcUnX+d5
RGRSRRzYSnbddmteyYfbWX5EMinsMbzTLtVZPDVgehhFQr8fBl1g6w8t0mnZhA5K
lKFOO/z/czEEb0nEgDu2OHJeo4Dn0CstDsX4r58tkWGNQWGh+5zgoSU8n3FHiT5p
rhRn29ta2kuzKrXzJgqx6GdqFRPO/NnGUKDf8sKGJOecgHbTYOlOuuRb2z4lHUmI
yGs+gwOTFA74h4Mhr4DLnn10OEP/oJt9ROBQ/kC8HiMkPsp+wiY7o0ogQeS7pIeI
StMLvQdyLsmeUdyYbW/8qCm5hTwBAs3PeQjBXMecS3Qlm2+IJNsw6g==
=9QbC
-----END PGP SIGNATURE-----

----- End forwarded message -----


From security em unicamp.br  Wed Oct 15 11:02:55 2008
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Wed, 15 Oct 2008 11:02:55 -0300
Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Seguranca
	Microsoft - Outubro 2008
Message-ID: <20081015140250.GC77461@unicamp.br>

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Resumo dos Boletins de Seguranca Microsoft - Outubro
 2008
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 14 Oct 2008 19:21:55 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

A Microsoft publicou 11 boletins de seguranca em 14 de outubro, que 
abordam ao todo 11 vulnerabilidades que afetam produtos Microsoft. Estas 
vulnerabilidades permitem desde a divulgacao de informacoes ate' a 
execucao remota de codigo.

No momento da publicacao deste resumo ha' codigo malicioso (exploit) 
disponivel publicamente ou atividade que exploram as vulnerabilidades 
descritas nos boletins MS08-058 (Internet Explorer) e MS08-062 (Windows 
Internet Printing Service).


SEVERIDADE

. Critica

  - MS08-057: Vulnerabilidades no Excel
    Permite o controle total sobre o sistema se um usuario abrir um 
    arquivo Excel especialmente preparado por um atacante.

  - MS08-058: Vulnerabilidades no Internet Explorer
    Seis vulnerabilidades que permitem desde a divulgacao de informacoes 
    ate' a execucao de codigo remoto se um usuario visualiza com Internet 
    Explorer uma pagina Web especialmente preparada.

  - MS08-059: Vulnerabilidade no Host Integration Server RPC Service
    Permite a execucao remota de codigo se um atacante enviou uma 
    requisicao Remote Procedure Call (RPC) especialmente preparada para o 
    sistema afetado.

  - MS08-060: Vulnerabilidade no Active Directory
    Permite a execucao remota de codigo se um atacante consegue ter acesso 
    a uma rede afetada pela vulnerabilidade.

. Importante

  - MS08-061: Vulnerabilidades no Kernel do Windows
    Permite o controle total sobre o sistema se pelo menos uma das tres 
    vulnerabilidades for explorada. E' necessario um ataque local, com um 
    usuario do sistema. As vulnerabilidades nao podem ser exploradas 
    remotamente ou por usuarios anonimos.

  - MS08-062: Vulnerabilidade no Windows Internet Printing Service
    Permite a execucao de codigo remoto no contexto do usuario que estiver 
    ativo no momento do ataque. Se o ataque for realizado contra um 
    usuario com privilegios de administrador o atacante pode obter 
    controle total sobre o sistema afetado.

  - MS08-063: Vulnerabilidade no Protocolo Microsoft Server Message Block (SMB)
    Permite a execucao remota de codigo em um servidor que esteja 
    compartilhando arquivos ou pastas.

  - MS08-064: Vulnerabilidade no Virtual Address Descriptor
    Permite a elevacao de privilegios se um usuario executa uma aplicacao 
    especialmente preparada para explorar a vulnerabilidade.

  - MS08-065: Vulnerabilidade no Servico Message Queuing Service (MSMQ)
    Permite a execucao remota de codigo em sistemas Windows 2000 afetados 
    que tenham o servico MSMQ habilitado.

  - MS08-066: Vulnerabilidade no Microsoft Ancillary Function Driver (AFD)
    Permite a execucao de codigo arbitrario com privilegios de 
    administrador por um usuario local, obtendo controle total sobre o 
    sistema afetado.

. Moderada

  - MS08-056: Vulnerabilidade no Microsoft Office
    Permite a divulgacao de informacoes se um usuario clicar em um URL CDO 
    especialmente preparado por um atacante.

. Baixa

  - Nenhuma vulnerabilidade

O sistema de classificacao de severidade das vulnerabilidades adotado pelo 
CAIS neste resumo e' o da propria Microsoft. O CAIS recomenda que se 
aplique, minimamente, correcoes para vulnerabilidades classificadas como 
Criticas e Importantes. No caso de correcoes para vulnerabilidades 
classificadas como Moderadas o CAIS recomenda que ao menos as 
recomendacoes de mitigacao sejam seguidas.

. Critica - Vulnerabilidades cuja exploracao possa permitir a propagacao
  de um worm sem a necessidade de interacao com o usuario.

. Importante - Vulnerabilidades cuja exploracao pode resultar no
  comprometimento de confidencialidade, integridade ou disponibilidade de 
  dados de usuarios ou a integridade ou disponibilidade de recursos de 
  processamento.

. Moderada - exploracao e' mitigada significativamente por fatores como 
  configuracao padrao, auditoria ou dificuldade de exploracao.

. Baixa - uma vulnerabilidade cuja exploracao seja extremamente dificil ou 
  cujo impacto seja minimo.


CORRECOES DISPONIVEIS

Recomenda-se fazer a atualizacao para as versoes disponiveis em:

. Microsoft Update
  https://www.update.microsoft.com/microsoftupdate/

. Windows Server Update Services
  http://www.microsoft.com/windowsserversystem/updateservices/default.mspx


MAIS INFORMACOES

. Microsoft Security Bulletin Summary for October 2008
  http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx

. SANS ISC Handler's Diary 2008-10-14: October Black Tuesday Overview
  http://isc.sans.org/diary.html?storyid=5180

. Microsoft Security Vulnerability Research & Defense
  http://blogs.technet.com/swi/

. MS08-056: Vulnerability in Microsoft Office Could Allow Information Disclosure (957699)
  http://www.microsoft.com/technet/security/bulletin/ms08-056.mspx

. MS08-057: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (956416)
  http://www.microsoft.com/technet/security/bulletin/ms08-057.mspx

. MS08-058: Cumulative Security Update for Internet Explorer (956390)
  http://www.microsoft.com/technet/security/bulletin/ms08-058.mspx

. MS08-059: Vulnerability in Host Integration Server RPC Service Could Allow Remote Code Execution (956695)
  http://www.microsoft.com/technet/security/bulletin/ms08-059.mspx

. MS08-060: Vulnerability in Active Directory Could Allow Remote Code Execution (957280)
  http://www.microsoft.com/technet/security/bulletin/ms08-060.mspx

. MS08-061: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (954211)
  http://www.microsoft.com/technet/security/bulletin/ms08-061.mspx

. MS08-062: Vulnerability in Windows Internet Printing Service Could Allow Remote Code Execution (953155)
  http://www.microsoft.com/technet/security/bulletin/ms08-062.mspx

. MS08-063: Vulnerability in SMB Could Allow Remote Code Execution (957095)
  http://www.microsoft.com/technet/security/bulletin/ms08-063.mspx

. MS08-064: Vulnerability in Virtual Address Descriptor Manipulation Could Allow Elevation of Privilege (956841)
  http://www.microsoft.com/technet/security/bulletin/ms08-064.mspx

. MS08-065: Vulnerability in Message Queuing Could Allow Remote Code Execution (951071)
  http://www.microsoft.com/technet/security/bulletin/ms08-065.mspx

. MS08-066: Vulnerability in the Microsoft Ancillary Function Driver Could Allow Elevation of Privilege (956803)
  http://www.microsoft.com/technet/security/bulletin/ms08-066.mspx

. Microsoft Brasil Security
  http://www.microsoft.com/brasil/security

. Technet Brasil - Central de Seguranca
  http://www.technetbrasil.com.br/seguranca

. Windows Live OneCare
  http://safety.live.com/site/pt-BR/default.htm


Identificador CVE (http://cve.mitre.org):
CVE-2008-4020, CVE-2008-3477, CVE-2008-3471, CVE-2008-4019,
CVE-2008-2947, CVE-2008-3472, CVE-2008-3473, CVE-2008-3474,
CVE-2008-3475, CVE-2008-3476, CVE-2008-3466, CVE-2008-4023,
CVE-2008-2250, CVE-2008-2251, CVE-2008-2252, CVE-2008-1446,
CVE-2008-4038, CVE-2008-4036, CVE-2008-3479, CVE-2008-3464


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSPUbmukli63F4U8VAQFMDQQAp1kgJCSxbuuzmj4NXyRhem7vZR4m8r/T
0vGuiBHOMaIlmYCb7j4ssq8V8hxvaJmCwkywFrTDDJ4EoZQfekvH0/yl5RwuTpPY
NAobz5JLk/AY4PSMm0x11lIfJQ7iiretlznhnKF1iWPGZOr584dLWG4N3GNjBPr9
TBn4F8i0dU4=
=Uttr
-----END PGP SIGNATURE-----


----- End forwarded message -----


From security em unicamp.br  Fri Oct 24 09:31:26 2008
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Fri, 24 Oct 2008 09:31:26 -0200
Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA08-297A --
	Microsoft Windows Server Service RPC Vulnerability
Message-ID: <20081024113123.GA30470@unicamp.br>

----- Forwarded message from US-CERT Technical Alerts <technical-alerts em us-cert.gov> -----

From: US-CERT Technical Alerts <technical-alerts em us-cert.gov>
Subject: US-CERT Technical Cyber Security Alert TA08-297A -- Microsoft Windows Server Service RPC Vulnerability
To: technical-alerts em us-cert.gov
Date: Thu, 23 Oct 2008 17:12:31 -0400
Organization: US-CERT - +1 202-205-5266


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


                     National Cyber Alert System

               Technical Cyber Security Alert TA08-297A


Microsoft Windows Server Service RPC Vulnerability

   Original release date: October 23, 2008
   Last revised: --
   Source: US-CERT


Systems Affected

     * Microsoft Windows 2000
     * Microsoft Windows XP
     * Microsoft Windows Server 2003
     * Microsoft Windows Vista
     * Microsoft Windows Server 2008


Overview

   A vulnerability in the way the Microsoft Windows server service
   handles RPC requests  could  allow  an unauthenticated, remote
   attacker to execute arbitrary code with SYSTEM privileges.


I. Description

   Microsoft has released Microsoft Security Bulletin MS08-067 to
   address a buffer  oveflow  vulnerability  in  the  Windows  Server
   service. The vulnerability is caused by a flaw in the way the
   Server service handles Remote Procedure Call (RPC) requests. For
   systems running Windows 2000, XP, and Server 2003, a remote,
   unauthenticated attacker could exploit this vulnerability. For
   systems running Windows Vista and Server 2008, a remote attacker
   would most likely need to authenticate.

   Microsoft Security Bulletin MS08-067 rates this vulnerability as
   "Critical" for Windows 2000, XP, and Server 2003. The bulletin also
   notes "...limited, targeted attacks attempting to exploit the
   vulnerability."

   This vulnerability has been assigned CVE-2008-4250. Further
   information is available in a Security Vulnerability & Research
   blog entry and US-CERT Vulnerability Note VU#827267.


II. Impact

   A remote, unauthenticated attacker could execute arbitrary code or
   cause a vulnerable  system to crash. Since the Server service runs
   with SYSTEM privileges, an attacker could take complete control of
   a vulnerable system.


III. Solution

Apply update

   Microsoft has provided updates for this vulnerability in Microsoft
   Security Bulletin MS08-067. Microsoft also provides security
   updates through the Microsoft Update web site and Automatic
   Updates. System administrators should  consider using an automated
   update distribution system such as Windows Server Update Services
   (WSUS).

Disable Server and Computer Browser services

   Disable the Server and Computer Browser services on Windows systems
   that do not require those services. A typical Windows client that
   is not sharing files or printers is unlikely to need either the
   Server or Computer Browser services. As a best security practice,
   disable all unnecessary services.

Restrict access to server service

   Restrict access to the server service (TCP ports 139 and 445). As a
   best security practice, only allow access to necessary network
   services.

Filter affected RPC identifier

   The host firewalls in Windows Vista and Windows Server 2008 can
   selectively filter RPC Universally Unique Identifiers (UUID). See
   Microsoft Security Bulletin MS08-067 for instructions to filter RPC
   requests with the UUID equal to 
   4b324fc8-1670-01d3-1278-5a47bf6ee188.


IV. References

     * US-CERT Vulnerability Note VU#827267 -
       <http://www.kb.cert.org/vuls/id/827267>

     * Microsoft Security Bulletin MS08-067 -
       <http://www.microsoft.com/technet/security/Bulletin/
       ms08-067.mspx>

     * Microsoft Update - <https://update.microsoft.com/>

     * Windows Update: Automatic Update
       <http://www.microsoft.com/windows/downloads/windowsupdate/
       automaticupdate.mspx>

     * Windows Server Update Services (WSUS) Home -
       <http://technet.microsoft.com/en-us/wsus/default.aspx>

     * CVE-2008-4250 -
       <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250>

     * More detail about MS08-067, the out-of-band netapi32.dll
       security update -
       <http://blogs.technet.com/swi/archive/2008/10/23/
       More-detail-about-MS08-067.aspx>


 ____________________________________________________________________

   The most recent version of this document can be found at:

     <http://www.us-cert.gov/cas/techalerts/TA08-297A.html>
 ____________________________________________________________________

   Feedback can be directed to US-CERT Technical Staff. Please send
   email to <cert em cert.org> with "TA08-297A Feedback VU#827267" in
   the subject.
 ____________________________________________________________________

   For instructions on subscribing to or unsubscribing from this
   mailing list, visit <http://www.us-cert.gov/cas/signup.html>.
 ____________________________________________________________________

   Produced 2008 by US-CERT, a government organization.

   Terms of use:

     <http://www.us-cert.gov/legal.html>
 ____________________________________________________________________


Revision History

   October 23, 2008: Initial release

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)

iQEVAwUBSQDoMnIHljM+H4irAQJaYwgAwTlLruLijREi3IjEanhKH9DOFykxE9Mr
Mmt4yurwHjt+TPMyqgzPGuk44xd5ySPTm0qIszwIXSiIDYS50PNhg0atluiQeLVC
ToFNdd6W++75upBIQMkYUENj4GHExDcMOs0uMjlIcjqUGIERlqRHnkIWDvMU0ouc
pKnx4p50IimdVMlabHbZ1AiL1tRWFgsc0IM2FExpyVpHKXy6dCXjMbfV5pPgB23l
0CaRk5ENONr9BPDx0nN/1hwS6cQ5vaU7/i6KH1GL+hPkAAEvns002FUHPoUiaj2W
Z415eNR3psa9vDU0hsajsqySbXcgUSSW12M0FxRb2DP5HSxriXi0IQ==
=vk3f
-----END PGP SIGNATURE-----

----- End forwarded message -----


From security em unicamp.br  Wed Oct 29 10:29:47 2008
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Wed, 29 Oct 2008 10:29:47 -0200
Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade Critica no Microsoft
	Windows (MS08-067)
Message-ID: <20081029122946.GB49914@unicamp.br>

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidade Critica no Microsoft Windows (MS08-067)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Fri, 24 Oct 2008 16:31:41 -0200 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta da Microsoft, intitulado "MS08-067 - 
Vulnerability in Server Service Could Allow Remote Code Execution 
(958644)", que trata de uma vulnerabilidade critica no servico "Server" do 
Sistema Operacional Windows.

Foi descoberta uma vulnerabilidade de execucao remota de codigo no servico 
"Server" em sistemas Windows. A vulnerabilidade existe devido ao 
tratamento inadequado de requisicoes RPC (Remote Procedure Call) criadas 
especialmente com o objetivo de explorar esta vulnerabilidade.

O atacante deve ser capaz de ter acesso 'a interface RPC para explorar a 
vulnerabilidade. Sistemas Windows XP SP2, Windows Vista e Windows Server 
2008 recem-instalados tem firewall habilitado por padrao, o que inibe a 
exploracao. Entretanto, as seguintes condicoes permitem a exploracao desta 
vulnerabilidade:

. firewall desativado;
. firewall ativado, mas compartilhamento de arquivos / impressoras 
  habilitado.

Este boletim de seguranca foi divulgado fora do ciclo mensal de boletins 
de seguranca por se tratar de uma vulnerabilidade critica, por isso o CAIS 
recomenda a aplicacao imediada da correcao.

Caso nao seja possivel aplicar a correcao, siga as recomendacoes de 
medidas paleativas da Microsoft.

. Boas praticas de firewall;
. Em sistemas Windows Vista e Windows Server 2008 e' necessario que o 
  atacante esteja autenticado no momento do ataque.

Para detectar este ataque especifico consulte a secao "Mais informacoes". 
Ja' existem regras Snort Emerging Threats disponiveis para download.


SISTEMAS AFETADOS

. Microsoft Windows 2000 Service Pack 4
. Windows XP Service Pack 2
. Windows XP Service Pack 3
. Windows XP Professional x64 Edition
. Windows XP Professional x64 Edition Service Pack 2
. Windows Server 2003 Service Pack 1
. Windows Server 2003 Service Pack 2
. Windows Server 2003 x64 Edition
. Windows Server 2003 x64 Edition Service Pack 2
. Windows Server 2003 com SP1 para Sistemas baseados em Itanium
. Windows Server 2003 com SP2 para Sistemas baseados em Itanium
. Windows Vista
. Windows Vista Service Pack 1
. Windows Vista x64 Edition
. Windows Vista x64 Edition Service Pack 1
. Windows Server 2008 para Sistemas 32 bits
. Windows Server 2008 para Sistemas baseados em x64
. Windows Server 2008 para Sistemas baseados em Itanium


CORRECOES DISPONIVEIS

Recomenda-se atualizar os sistemas para as versoes disponiveis em:

. Microsoft Windows 2000 Service Pack 4
  http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3

. Windows XP Service Pack 2
  http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03

. Windows XP Service Pack 3
  http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03

. Windows XP Professional x64 Edition
  http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25

. Windows XP Professional x64 Edition Service Pack 2
  http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25

. Windows Server 2003 Service Pack 1
  http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D

. Windows Server 2003 Service Pack 2
  http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D

. Windows Server 2003 x64 Edition
  http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400

. Windows Server 2003 x64 Edition Service Pack 2
  http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400

. Windows Server 2003 com SP1 para Sistemas baseados em Itanium      
  http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF

. Windows Server 2003 com SP2 para Sistemas baseados em Itanium
  http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF

. Windows Vista 
  http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21

. Windows Vista Service Pack 1
  http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21

. Windows Vista x64 Edition
  http://www.microsoft.com/downloads/details.aspx?familyid=A976999D-264F-4E6A-9BD6-3AD9D214A4BD

. Windows Vista x64 Edition Service Pack 1    
  http://www.microsoft.com/downloads/details.aspx?familyid=A976999D-264F-4E6A-9BD6-3AD9D214A4BD

. Windows Server 2008 para Sistemas 32 bits     
  http://www.microsoft.com/downloads/details.aspx?familyid=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7

. Windows Server 2008 para Sistemas baseados em x64   
  http://www.microsoft.com/downloads/details.aspx?familyid=7B12018E-0CC1-4136-A68C-BE4E1633C8DF

. Windows Server 2008 para Sistemas baseados em Itanium        
  http://www.microsoft.com/downloads/details.aspx?familyid=2BCF89EF-6446-406C-9C53-222E0F0BAF7A


MAIS INFORMACOES

. MS08-067: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
  http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

. SANS ISC Handler's Diary 2008-10-23: * Microsoft out-of-band patch - Severity Critical
  http://isc.sans.org/diary.html?storyid=5227

. Microsoft MSRC - MS08-067 Released
  http://blogs.technet.com/msrc/archive/2008/10/23/ms08-067-released.aspx

. Microsoft SVRD - More detail about MS08-067, the out-of-band netapi32.dll security update
  http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

. MS08-067 Sigs from Secureworks
  http://www.emergingthreats.net/index.php/component/content/article/1-latest/124-ms08-067-sigs-from-secureworks.html

. Microsoft Brasil Security
  http://www.microsoft.com/brasil/security

. Technet Brasil - Central de Seguranca
  http://www.technetbrasil.com.br/seguranca

. Windows Live OneCare
  http://safety.live.com/site/pt-BR/default.htm


Identificador CVE (http://cve.mitre.org): CVE-2008-4250


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSQIUmOkli63F4U8VAQEynQQAxl3Mrad1FcA2P73nbTM53Z5a7MTONA1c
In6jSnlbppvGIKa+qLxJ0Zf+GRpBe0y4LtrMsHorZrnznw3FB4SKgyfIt1pmRwOf
dch7vNHoXsych0KS1RuiScSXz64dYL2EjINT7QvpvAnMxMMdp9p3wkV4xVnNRJyQ
wZCEzUziCqg=
=3OE1
-----END PGP SIGNATURE-----


----- End forwarded message -----