From security em unicamp.br Fri Aug 7 08:18:25 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 7 Aug 2009 08:18:25 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA09-218A -- Apple Updates for Multiple Vulnerabilities Message-ID: <20090807111824.GA94587@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA09-218A -- Apple Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Thu, 6 Aug 2009 14:03:08 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA09-218A Apple Updates for Multiple Vulnerabilities Original release date: August 06, 2009 Last revised: -- Source: US-CERT Systems Affected * Apple Mac OS X versions prior to and including 10.4.11 (Tiger) and 10.5.7 (Leopard) * Apple Mac OS X Server versions prior to and including 10.4.11 (Tiger) and 10.5.7 (Leopard) Overview Apple has released Mac OS X v10.5.8 / Security Update 2009-003 to correct multiple vulnerabilities affecting components of Apple Mac OS X and Mac OS X Server. Attackers could exploit these vulnerabilities to execute arbitrary code, gain access to sensitive information, or cause a denial of service. I. Description Apple Mac OS X v10.5.8 / Security Update 2009-003 addresses a number of vulnerabilities affecting Apple Mac OS X and Mac OS X Server. These updates also address vulnerabilities in other vendors' products that ship with Apple Mac OS X or Mac OS X Server. II. Impact The impact of these vulnerabilities vary. Potential consequences include arbitrary code execution, sensitive information disclosure, denial of service, or privilege escalation. III. Solution Install Apple Mac OS X v10.5.8 / Security Update 2009-003. These and other updates are available via Software Update or via Apple Downloads. IV. References * Security Update 2009-003 / Mac OS X v10.5.8 - * Mac OS X: Updating your software - * Apple Downloads - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA09-218A Feedback VU#426517" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2009 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History August 06, 2009: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBSnsainIHljM+H4irAQLe2wgAg9ZJq3PGtU+CYHa6+n9Gli9l/NeIXQBb JhKvrXwFYp1uCCs5bVlZ/80Wuq6BJgkv1kojnV6zhqZA7VkPQEhjGofvcUs9MsO8 jXQ6JPdZRd6jWmB4pFHPAD5NOpBV2fJN+JQQuep9xwlap/hITfZfj24+nVFciwXo PdsptiEvpPcfsdan5ScQB+36MC4fRixUAgV+oWHDTgZJEaO1J2/5QiMK7+jWanXH 3jD6FIVdbJQcUmMDGle7RvURSuiX4jFq3D+lweDCtLwX576qx9m6QRbvnxaX8bfU HFcStLJRmi2kFEMiqga83lIyhSB1g1t+rWy5MBH+xml0MSYO7V7z6w== =A6S1 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon Aug 10 16:35:24 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 10 Aug 2009 16:35:24 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade de DoS no Asterisk (SA36039) Message-ID: <20090810193523.GB6879@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade de DoS no Asterisk (SA36039) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Mon, 10 Aug 2009 15:20:56 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta da Secunia, intitulado "SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability", que trata de uma vulnerabilidade no Asterisk. Asterisk é um software da Digium que implementa PABX, usado em centrais telefônicas. Trata-se de uma das soluções mais populares de Voz sobre IP (Voice over IP - VoIP). A vulnerabilidade está na maneira como as versões vulneráveis de Asterisk tratam quadros do tipo "text" do protocolo RTP (Real-time Transport Protocol). Se explorada com sucesso por um atacante esta vulnerabilidade pode criar uma condição de negação de serviço (DoS - Denial of Service), o que interromperia os serviços do Asterisk. Esta vulnerabilidade não permite que um atacante execute código arbitrário remotamente. SISTEMAS AFETADOS . Asterisk Open Source 1.6.x versões anteriores ao release 1.6.1.2 (todas as versões 1.6.1) CORREÇÕES DISPONÍVEIS Recomenda-se a atualização para a versões disponíveis em: . Asterisk Downloads http://www.asterisk.org/downloads MAIS INFORMAÇÕES . SA36039: Asterisk RTP Text Frames Denial of Service Vulnerability http://secunia.com/advisories/36039/ . AST-2009-004: Remote Crash Vulnerability in RTP stack http://downloads.asterisk.org/pub/security/AST-2009-004.html Identificador CVE (http://cve.mitre.org): CVE-2009-2651 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSoBlHekli63F4U8VAQEx6AP/f3wJJJleR2O2Pq7NKw7K6+9UTGERZjiF m4gp4f1992j5didmM5Crwx4sBjbyqz/9zOMhFZs57vGlwsW1VzvNvzgzv5ghNRJd C/jnm+3v1aAF2n6oh78xov86lxhLEEwmP+xPeUFnLu5izQxBPgz4pk5sEX5/aZSN zHLClOIm/T4= =W2dT -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 12 11:22:30 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 12 Aug 2009 11:22:30 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA09-223A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20090812142225.GB15505@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA09-223A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 11 Aug 2009 15:49:30 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA09-223A Microsoft Updates for Multiple Vulnerabilities Original release date: August 11, 2009 Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows and Windows Server * Microsoft Office * Remote Desktop Connection Client for Mac 2.0 Overview Microsoft has released updates to address vulnerabilities in Microsoft Windows, Windows Server, Office Web Components and Remote Desktop Connection for Mac. I. Description Microsoft has released multiple security bulletins for critical vulnerabilities in Windows, Windows Server, Office Web Components, and Remote Desktop Connection for Mac. These bulletins are described in the Microsoft Security Bulletin Summary for August 2009. Microsoft Security Bulletin MS09-037 includes updates for Microsoft components to address vulnerabilities in the Active Template Library (ATL). Vulnerabilities present in the ATL can cause vulnerabilities in the resulting ActiveX controls and COM components. Any ActiveX control or COM component that was created with a vulnerable version of the ATL may be vulnerable, including ones distributed by third-party developers. Developers should update the ATL as described in the previously released Microsoft Security Bulletin MS09-035 in order to stop creating vulnerable controls. To address vulnerabilities in existing controls, recompile the controls using the updated ATL. Further discussion about the ATL vulnerabilities can be found in the Microsoft Security Advisory 973882. II. Impact An attacker may be able to execute arbitrary code, in some cases without user interaction. III. Solution Apply updates from Microsoft Microsoft has provided updates for these vulnerabilities in the Microsoft Security Bulletin Summary for August 2009. The security bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. Administrators should consider using an automated update distribution system such as Windows Server Update Services (WSUS). IV. References * Microsoft Security Bulletin Summary for August 2009 - * Microsoft Security Advisory 973882 - * Microsoft Update - * Windows Server Update Services - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA09-223A Feedback VU#880124" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2009 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History August 11, 2009: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBSoHKPnIHljM+H4irAQK/hwgAtF8UKy0+tPJg9HQ6pJft7iffI4unXCkG ser5aJ1QSm7Ep9vXP3THlvOZf0rUrDy2Xet/xuiL5HbESgQ4FaW6Fp15XsvhtIFX G4jMCDrIKmuNaEX4GFPyDcAV0djbhq3n7ZCWUQOtWqd7kXvKpRGcZWEF16p1KJE2 ewN/ypKbCgIqS50lITe4SHUWyVn7Nm3MUdE9yro/BgFhoGXtuwrp0miYRbbHS6Tt 7VVmygk8HuWNPpQQVnCqPpah7nUP0+dJVvTwu4UX7V5K3O2KeM2Z//BnHyuIdGV3 NF8H3KIq+1UJfg7XqFLofQ4rbi05blC27Pe8YiM9z4pGAyJZWgfehg== =fqkk -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Aug 12 11:22:57 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 12 Aug 2009 11:22:57 -0300 Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Segurana Microsoft - Agosto 2009 Message-ID: <20090812142256.GC15505@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Agosto 2009 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 11 Aug 2009 18:43:08 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, A Microsoft publicou 9 boletins de segurança em 11 de agosto, que abordam ao todo 19 vulnerabilidades que afetam produtos da empresa. A exploração destas vulnerabilidades permite desde a elevação de privilégios de um usuário até a execução remota de código. No momento da publicação deste resumo há exploração ativa das vulnerabilidades descritas nos boletins MS09-036, MS09-037, MS09-042 e MS09-043. SEVERIDADE . Crítica - MS09-037: Vulnerabilidades na Microsoft Active Template Library (ATL) Vulnerabilidades que permitem a execução remota de código - MS09-038: Vulnerabilidades no processamento de Windows Media File Vulnerabilidades que permitem a execução remota de código - MS09-039: Vulnerabilidades no Windows Internet Name Service (WINS) Vulnerabilidades que permitem a execução remota de código - MS09-043: Vulnerabilidades em Microsoft Office Web Components Vulnerabilidades que permitem a execução remota de código - MS09-044: Vulnerabilidades em Remote Desktop Connection Vulnerabilidades que permitem a execução remota de código . Importante - MS09-036: Vulnerabilidade no ASP.NET em Microsoft Windows Vulnerabilidade que permite Negação de Serviço (DoS) - MS09-040: Vulnerabilidade no Windows Message Queuing Service (MSMQ) Vulnerabilidade que pode causar a elevação de privilégios de um usuário - MS09-041: Vulnerabilidade no Serviço Windows Workstation Vulnerabilidade que pode causar a elevação de privilégios de um usuário - MS09-042: Vulnerabilidade no Microsoft Telnet Vulnerabilidade que permite a execução remota de código . Moderada - Nenhum boletim . Baixa - Nenhum boletim O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas. . Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário. . Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento. . Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração. . Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar os sistemas para as versões disponíveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx MAIS INFORMAÇÕES . Microsoft Security Bulletin Summary for August 2009 http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx . SANS ISC Handler's Diary 2009-08-11: Microsoft August 2009 Black Tuesday Overview http://isc.sans.org/diary.html?storyid=6937 . MS09-036: Vulnerability in ASP.NET in Microsoft Windows Could Allow Denial of Service (970957) http://www.microsoft.com/technet/security/Bulletin/MS09-036.mspx . MS09-037: Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution (973908) http://www.microsoft.com/technet/security/Bulletin/MS09-037.mspx . MS09-038: Vulnerabilities in Windows Media File Processing Could Allow Remote Code Execution (971557) http://www.microsoft.com/technet/security/Bulletin/MS09-038.mspx . MS09-039: Vulnerabilities in WINS Could Allow Remote Code Execution (969883) http://www.microsoft.com/technet/security/Bulletin/MS09-039.mspx . MS09-040: Vulnerability in Message Queuing Could Allow Elevation of Privilege (971032) http://www.microsoft.com/technet/security/Bulletin/MS09-040.mspx . MS09-041: Vulnerability in Workstation Service Could Allow Elevation of Privilege (971657) http://www.microsoft.com/technet/security/Bulletin/MS09-041.mspx . MS09-042: Vulnerability in Telnet Could Allow Remote Code Execution (960859) http://www.microsoft.com/technet/security/Bulletin/MS09-042.mspx . MS09-043: Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638) http://www.microsoft.com/technet/security/Bulletin/MS09-043.mspx . MS09-044: Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution (970927) http://www.microsoft.com/technet/security/Bulletin/MS09-044.mspx . Microsoft TechCenter de Segurança http://technet.microsoft.com/pt-br/security/ . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ . Microsoft Security Research & Defense - MSRD http://blogs.technet.com/srd/ . Segurança Microsoft http://www.microsoft.com/brasil/security/ Identificador CVE (http://cve.mitre.org): CVE-2008-0015, CVE-2008-0020, CVE-2009-0562, CVE-2009-0901, CVE-2009-1133, CVE-2009-1136, CVE-2009-1534, CVE-2009-1536, CVE-2009-1544, CVE-2009-1545, CVE-2009-1546, CVE-2009-1922, CVE-2009-1923, CVE-2009-1924, CVE-2009-1929, CVE-2009-1930, CVE-2009-2493, CVE-2009-2494, CVE-2009-2496 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSoHl+ukli63F4U8VAQFn9wP/QcLik6ecb7UnriErADqY6ZrlhHoLG8eu AH3nWtEfDFF3jzfTMF/ZymBQSVCrEhQVNJeJu1jx3fb4gFJW3ko8z1Cq1TQcZL16 CnvzXFnPGykeg4b6iR9eyTPxvvv4uzvEseRN2LO1r/aRpmGtbXdD43OyZNHK/Zhl PX9mkpkRYmY= =rL91 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Aug 14 14:22:56 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 14 Aug 2009 14:22:56 -0300 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no WordPress (SA36237) Message-ID: <20090814172255.GC23443@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no WordPress (SA36237) To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 14 Aug 2009 12:06:33 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta da Secunia, intitulado "WordPress Password Reset Weakness (SA36237)", que trata de uma vulnerabilidade no WordPress. WordPress é uma plataforma software livre de publicação de blogs muito popular. A vulnerabilidade está na forma como as versões vulneráveis do software implementam a função de reset de senha, parte do modulo PHP wp-login.php. Esta vulnerabilidade permite que a primeira conta sem uma chave no banco de dados (normalmente a conta do administrador do blog) tenha sua senha redefinida (reset) sem a necessidade de confirmação. O ataque é trivial e pode ser realizado remotamente, com o uso de um simples navegador Web. Não é possível obter controle sobre a conta atacada. Entretanto, a exploração desta vulnerabilidade resulta em um grande inconveniente para o administrador do blog, que perde acesso a sua própria conta. SISTEMAS AFETADOS . WordPress 2.8.3 stable e versões 2.x anteriores CORREÇÕES DISPONÍVEIS Recomenda-se a atualização para a versão stable mais recente, WordPress 2.8.4, disponível em: . Download WordPress http://wordpress.org/download/ Caso o administrador já tenha sido vítima do ataque e perdeu acesso a sua conta, é possível utilizar um script de emergência (Emergency Password Reset Script), disponível na raiz da instalação Wordress. Mais informações sobre este script e sobre como utilizá-lo na seção "Referências". REFERÊNCIAS . SA36237: WordPress Password Reset Weakness http://secunia.com/advisories/36237/ . WordPress Blog: WordPress 2.8.4: Security Release http://wordpress.org/development/2009/08/2-8-4-security-release/ . SANS ISC Handler's Diary 2009-08-11: Wordpress unauthenticated administrator password reset http://isc.sans.org/diary.html?storyid=6934 . WordPress Codex: Resetting Your Password http://codex.wordpress.org/Resetting_Your_Password Identificador CVE (http://cve.mitre.org): Não disponível O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBSoV9hekli63F4U8VAQFCmQQAj7lhbPuf7N3VWvimmDAmdajXFxOSdLZF Nzvnw1T4IT1cbD9xnaa+nQhoH00RyybfnZnjd6wcLXNISgjbcoVB0iTALRgeofgF kduRB50IzWFh8CdTPeW3nKpN9rsGh4Jic3Q+o9iSIx+m5eoWrEL3p6jMt2hOk64/ fiOP/RvckQM= =zK8j -----END PGP SIGNATURE----- ----- End forwarded message -----