From security em unicamp.br Fri Oct 9 11:02:18 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 9 Oct 2009 11:02:18 -0300 Subject: [SECURITY-L] Fwd: [Dicas-L] Palestra na Unicamp: Ataques contra o SMTP - Como as botnets enviam spam Message-ID: <20091009140214.GA11723@unicamp.br> ---------- Forwarded message ---------- From: Rubens Queiroz de Almeida Date: 2009/10/9 Subject: [Dicas-L] Palestra na Unicamp: Ataques contra o SMTP - Como as botnets enviam spam Título da Palestra: Ataques contra o SMTP - Como as botnets enviam spam Data: 15 de outubro Horário: 14h as 16h Local: Auditório do Centro de Computação da Unicamp Inscrição: http://www.rau-tu.unicamp.br/seven/subscribe.php?e_type=lecture Mapa de acesso: http://www.ccuec.unicamp.br/institucional/imagens/mapa1.jpg Promoção: Centro de Computação da Unicamp e Agência para Formação Profissional da Unicamp ==Resumo da Palestra:== Atualmente mais de 90% das mensagens de e-mail são spam, gerado por grupos de máquinas infectadas - as chamadas botnets - que bombardeiam os servidores. Ao entender como as botnets operam e utilizar técnicas simples é possível evitar que boa parte desse lixo eletrônico chegue aos seus usuários. ==Sobre o Palestrante:== Miguel Di Ciurcio Filho é administrador de Redes e Sistemas do Instituto de Computação da Unicamp. Graduado em Ciência da Computação e certificado pelo Linux Professional Institute nível 2(LPIC-2). Já palestrou no Fórum Internacional de Software Livre, no Instituto de Computação e no Grupo de Trabalho e Segurança do NIC.br. Autor do ACL Policy Daemon, programa que se comunica com o servidor de e-mail Postfix implementando um sistema de ACLs. OBS: O evento é gratuito, porém solicitamos aos participantes que contribuam com 1 kg de alimento não perecível ou produtos de limpeza (Leite em pó; Leite longa vida (de caixinha); Achocolatado; Feijão; Fardo de papel higiênico; Sabão em pó.) que serão doados à APACC - Associação de Pais e Amigos de Crianças com Câncer e Hemopatias (www.apacc-sp.org.br). Alternativamente, poderão ser feitas doações diretamente à APACC, através da conta corrente: Banco Bradesco (237) Agência: 046-9 Conta: 424.000-6 O recibo da doação deverá ser apresentado no dia do evento. ----- End forwarded message ----- From security em unicamp.br Wed Oct 14 10:26:18 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 Oct 2009 10:26:18 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA09-286A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20091014132617.GA4585@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA09-286A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 13 Oct 2009 14:50:20 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA09-286A Microsoft Updates for Multiple Vulnerabilities Original release date: Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows and Windows Server * Microsoft Internet Explorer * Microsoft Office * Microsoft .NET Framework * Microsoft Silverlight * Microsoft SQL Server * Microsoft Developer Tools * Microsoft Forefront Overview Microsoft has released updates to address vulnerabilities in Microsoft Windows and Windows Server, Internet Explorer, Office, .NET Framework, Silverlight, SQL Server, Developer Tools, and Forefront. I. Description Microsoft has released multiple security bulletins for critical vulnerabilities in Microsoft Windows and Windows Server, Internet Explorer, Office, .NET Framework, Silverlight, SQL Server, Developer Tools, and Forefront. These bulletins are described in the Microsoft Security Bulletin Summary for October 2009. II. Impact A remote, unauthenticated attacker could execute arbitrary code, gain elevated privileges, or cause a vulnerable application to crash. III. Solution Apply updates from Microsoft Microsoft has provided updates for these vulnerabilities in the Microsoft Security Bulletin Summary for October 2009. The security bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. Administrators should consider using an automated update distribution system such as Windows Server Update Services (WSUS). IV. References * Microsoft Security Bulletin Summary for October 2009 - * Microsoft Windows Server Update Services - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA09-286A Feedback VU#788021" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2009 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History October 13, 2009: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBStTKrtucaIvSvh1ZAQL82wf+PgEKeQvhJ5HQGJ3S0/VzCP7/PzauiWrW Zm/l1mlzOpp6F81G35xHfnOXJ9pY5/rv5Ez80ME8mQrYi8K0IHiA24mHBXu9vFSk crtGkpGGqvrPRxJbuC+otsy8wtYzAu6fa6np3FF+fGFCvhAuf5kzfEMHR79BNC4A 04Lz7zJvO+7w+y4mt4lbfc7FJnoPm5kIFu3hQV2KmsnATipYUB8gVVqb6mpkCsbR aIbgKdyXFWeLiQVPN3bwUt4yE0FnpWT89eZCANdFtOSHVl2ff3cumR9YB1mHDUbQ 8qomBgx1goC2DlRRcX0EpyJp1+4fLl1pnuHD1Qtt1LTYyZ+sTq566g== =sbjN -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Oct 14 10:26:39 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 Oct 2009 10:26:39 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA09-286B -- Adobe Reader and Acrobat Vulnerabilities Message-ID: <20091014132639.GB4585@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA09-286B -- Adobe Reader and Acrobat Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 13 Oct 2009 17:09:24 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA09-286B Adobe Reader and Acrobat Vulnerabilities Original release date: Last revised: -- Source: US-CERT Systems Affected * Adobe Reader and Acrobat 9.1.3 and earlier 9.x versions * Adobe Reader and Acrobat 8.1.6 and earlier 8.x versions * Adobe Reader and Acrobat 7.1.3 and earlier 7.x versions Overview Adobe has released Security bulletin APSB09-15, which describes multiple vulnerabilities affecting Adobe Reader and Acrobat. I. Description Adobe Security Advisory APSB09-15 describes a number of vulnerabilities affecting Adobe Reader and Acrobat. These vulnerabilities affect Reader 9.1.3 and earlier 9.x versions, 8.1.6 and earlier 8.x versions, and 7.1.3 and earlier 7.x versions. An attacker could exploit these vulnerabilities by convincing a user to open a specially crafted PDF file. The Adobe Reader browser plug-in is available for multiple Web browsers and operating systems, which can automatically open PDF documents hosted on a Web site. These vulnerabilities are being actively exploited. II. Impact These vulnerabilities allow a remote attacker to execute arbitrary code, write arbitrary files or folders to the filesystem, escalate local privileges, or cause a denial of service on an affected system as the result of a user opening a malicious PDF document. III. Solution Update Adobe has released updates to address this issue. Users are encouraged to read Adobe Security Bulletin APSB09-15 and update vulnerable versions of Adobe Reader and Acrobat. Enable Data Execution Prevention (DEP) in Microsoft Windows Consider enabling Data Execution Prevention (DEP) in supported versions of Windows. DEP should not be treated as a complete workaround, but DEP can mitigate the execution of attacker-supplied code in some cases. Microsoft has published detailed technical information about DEP in Security Research & Defense blog posts "Understanding DEP as a mitigation technology" part 1 and part 2. Use of DEP should be considered in conjunction with the application of patches or other mitigations described in this document. Disable JavaScript in Adobe Reader and Acrobat Disabling JavaScript may prevent some exploits from resulting in code execution. Acrobat JavaScript can be disabled using the Preferences menu (Edit -> Preferences -> JavaScript; un-check Enable Acrobat JavaScript). Prevent Internet Explorer from automatically opening PDF documents The installer for Adobe Reader and Acrobat configures Internet Explorer to automatically open PDF files without any user interaction. This behavior can be reverted to a safer option that prompts the user by importing the following as a .REG file: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\AcroExch.Document.7] "EditFlags"=hex:00,00,00,00 Disable the display of PDF documents in the Web browser Preventing PDF documents from opening inside a Web browser will partially mitigate this vulnerability. If this workaround is applied it may also mitigate future vulnerabilities. To prevent PDF documents from automatically being opened in a Web browser, do the following: 1. Open Adobe Acrobat Reader. 2. Open the Edit menu. 3. Choose the preferences option. 4. Choose the Internet section. 5. Un-check the "Display PDF in browser" check box. Do not access PDF documents from untrusted sources Do not open unfamiliar or unexpected PDF documents, particularly those hosted on Web sites or delivered as email attachments. Please see Cyber Security Tip ST04-010. IV. References * APSB09-15 Security Advisory for Adobe Reader and Acrobat - * Understanding DEP as a mitigation technology part 1 - * Understanding DEP as a mitigation technology part 2 - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA09-286B Feedback VU#257117" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2009 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History October 13, 2009: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBStTr99ucaIvSvh1ZAQJsWwf+Pttkav58Zf/kBUMI2RFmHEc92fjtPZND GzSRC+Aul2Hyb+jsQfHiAbrLB6gaoGEzgafA34voE9ukh4I5Oi4czfF7vEp4rVzi U4TCasgadEzck5UdPPjJ4CgpeRYvgGAaY9Qupc5BydA9rkgBpvFRGkckC42n/jJb SShVnhaO5eqXSUJsxVRtwtLvcjot5A3HAuUE9Ni27kBdpMB85S4nZQE6XDwlI717 5jExXpy2IG6g+fkDEOxfWjWtyL/XJyIfRg8PTeqz40p0gHxdzJpUKLPhcrOFKCoU RgBbu3RFjeKA6LUq/vwrvVHNwVlmJc+SPf0gTkEccd/5GhCeu0OCUA== =UhqI -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Oct 14 10:27:29 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 14 Oct 2009 10:27:29 -0300 Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Segurana Microsoft - Outubro 2009 Message-ID: <20091014132729.GC4585@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Outubro 2009 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 13 Oct 2009 18:16:11 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, A Microsoft publicou 13 boletins de segurança em 13 de Outubro, que abordam ao todo 33 vulnerabilidades em produtos da empresa. A exploração destas vulnerabilidades permite a execução remota de código, negação de serviço (DoS), elevação de privilégios e spoofing. No momento da publicação deste resumo há informações sobre a exploração das vulnerabilidades descritas nos boletins MS09-050, MS09-051, MS09-053 e MS09-054. 8 dos 13 boletins são classificados como críticos pela Microsoft, em termos de grau de severidade da vulnerabilidade. É bom lembrar que as vulnerabilidades relacionadas com o boletim MS09-050 (Vulnerabilities in SMBv2 Could Allow Remote Code Execution), que afetam o protocolo SMB (Server Message Block), foram amplamente exploradas em Setembro. SEVERIDADE . Crítica - MS09-050: Vulnerabilidades no SMBv2 Vulnerabilidades que permitem a execução remota de código - MS09-051: Vulnerabilidades no Windows Media Runtime Vulnerabilidades que permitem a execução remota de código - MS09-052: Vulnerabilidade no Windows Media Player Vulnerabilidade que permite a execução remota de código - MS09-054: Vulnerabilidades no Internet Explorer Vulnerabilidades que permitem a execução remota de código - MS09-055: Vulnerabilidades em controles ActiveX Vulnerabilidades que permitem a execução remota de código - MS09-060: Vulnerabilidades no Microsoft Active Template Library (ATL) Vulnerabilidades que permitem a execução remota de código - MS09-061: Vulnerabilidades no Microsoft .NET Common Language Runtime Vulnerabilidades que permitem a execução remota de código - MS09-062: Vulnerabilidades no Microsoft Windows GDI+ Vulnerabilidades que permitem a execução remota de código . Importante - MS09-053: Vulnerabilidades no serviço FTP Vulnerabilidades que permitem a execução remota de código - MS09-056: Vulnerabilidades no Windows CryptoAPI Vulnerabilidades que permitem o forjamento (spoofing) de um certificado digital - MS09-057: Vulnerabilidade no Microsoft Windows Indexing Service Vulnerabilidade que permite a execução remota de código - MS09-058: Vulnerabilidades no Kernel do Windows Uma das vulnerabilidades permite a elevação de privilégios de um usuário - MS09-059: Vulnerabilidade no serviço Local Security Authority Subsystem Vulnerabilidade que permite que se cause negação de serviço (DoS) . Moderada - Nenhum boletim . Baixa - Nenhum boletim O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas. . Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário. . Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento. . Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração. . Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar os sistemas para as versões disponíveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx MAIS INFORMAÇÕES . Microsoft Security Bulletin Summary for October 2009 http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx . SANS ISC Handler's Diary 2009-10-13: Microsoft October 2009 Black Tuesday Overview http://isc.sans.org/diary.html?storyid=7345 . MS09-050: Vulnerabilities in SMBv2 Could Allow Remote Code Execution (975517) http://www.microsoft.com/technet/security/bulletin/ms09-050.mspx . MS09-051: Vulnerabilities in Windows Media Runtime Could Allow Remote Code Execution (975682) http://www.microsoft.com/technet/security/bulletin/ms09-051.mspx . MS09-052: Vulnerability in Windows Media Player Could Allow Remote Code Execution (974112) http://www.microsoft.com/technet/security/bulletin/ms09-052.mspx . MS09-053: Vulnerabilities in FTP Service for Internet Information Services Could Allow Remote Code Execution (975254) http://www.microsoft.com/technet/security/bulletin/MS09-053.mspx . MS09-054: Cumulative Security Update for Internet Explorer (974455) http://www.microsoft.com/technet/security/bulletin/ms09-054.mspx . MS09-055: Cumulative Security Update of ActiveX Kill Bits (973525) http://www.microsoft.com/technet/security/bulletin/ms09-055.mspx . MS09-056: Vulnerabilities in Windows CryptoAPI Could Allow Spoofing (974571) http://www.microsoft.com/technet/security/bulletin/ms09-056.mspx . MS09-057: Vulnerability in Indexing Service Could Allow Remote Code Execution (969059) http://www.microsoft.com/technet/security/bulletin/ms09-057.mspx . MS09-058: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (971486) http://www.microsoft.com/technet/security/bulletin/ms09-058.mspx . MS09-059: Vulnerability in Local Security Authority Subsystem Service Could Allow Denial of Service (975467) http://www.microsoft.com/technet/security/bulletin/ms09-059.mspx . MS09-060: Vulnerabilities in Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office Could Allow Remote Code Execution (973965) http://www.microsoft.com/technet/security/bulletin/ms09-060.mspx . MS09-061: Vulnerabilities in the Microsoft .NET Common Language Runtime Could Allow Remote Code Execution (974378) http://www.microsoft.com/technet/security/bulletin/MS09-061.mspx . MS09-062: Vulnerabilities in GDI+ Could Allow Remote Code Execution (957488) http://www.microsoft.com/technet/security/bulletin/ms09-062.mspx . Microsoft TechCenter de Segurança http://technet.microsoft.com/pt-br/security/ . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ . Microsoft Security Research & Defense - MSRD http://blogs.technet.com/srd/ . Segurança Microsoft http://www.microsoft.com/brasil/security/ Identificador CVE (http://cve.mitre.org): CVE-2009-0090, CVE-2009-0091, CVE-2009-0555, CVE-2009-0901, CVE-2009-1547, CVE-2009-2493, CVE-2009-2495, CVE-2009-2497, CVE-2009-2500, CVE-2009-2501, CVE-2009-2502, CVE-2009-2503, CVE-2009-2504, CVE-2009-2507, CVE-2009-2510, CVE-2009-2511, CVE-2009-2515, CVE-2009-2516, CVE-2009-2517, CVE-2009-2518, CVE-2009-2521, CVE-2009-2524, CVE-2009-2525, CVE-2009-2526, CVE-2009-2527, CVE-2009-2528, CVE-2009-2529, CVE-2009-2530, CVE-2009-2531, CVE-2009-2532, CVE-2009-3023, CVE-2009-3103, CVE-2009-3126 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCUAwUBStTuKOkli63F4U8VAQGQ+gP4pF1HC7ESFlQNiNV9H8BL+VBQdsNTCUc/ SiO2N1aN8el1gsl6wNWKD7Sew+mAADqj2zNV4Y83EmLgcG6mQ5g26/rgIFfeADxz 6H6LjDnTD7qegRrbzzuMMZI3UHy5+1HG8n4jr4ZxwG64h4SlpwU6g7t6iK9aR0Db KvkRQV9NYg== =h7vi -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Oct 15 16:08:35 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 15 Oct 2009 16:08:35 -0300 Subject: [SECURITY-L] CAIS-Alerta: Horario de Verao 2009/2010 Message-ID: <20091015190834.GG4585@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Horário de Verão 2009/2010 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Thu, 15 Oct 2009 10:55:43 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS gostaria de informar que o Horário de Verão 2009/2010 terá início à zero hora (00:00) de 18 de Outubro de 2009 e término à zero hora (00:00) de 21 de Fevereiro de 2010. O decreto no. 6.558 de 8 de setembro de 2008 determinou datas fixas de início e encerramento do período de Horário de Verão. O início sempre será à zero hora do terceiro domingo de Outubro e o encerramento sempre à zero hora do terceiro domingo de Fereveiro do ano seguinte. Se o terceiro domingo de Fevereiro for um domingo de Carnaval então o encerramento é automaticamente transferido para zero hora do domingo seguinte. No próximo domingo, 18 de Outubro, será preciso adiantar os relógios em 1 hora nos estados da região Sul, Sudeste e Centro-Oeste que participam do Horário de Verão. . Rio Grande do Sul . Santa Catarina . Paraná . São Paulo . Rio de Janeiro . Espírito Santo . Minas Gerais . Goiás . Mato Grosso . Mato Grosso do Sul . Distrito Federal Lembramos a todos que, tratando-se de incidentes de segurança, a precisão dos relógios dos sistemas é fundamental para manter a consistência dos logs, além de ser imprescindível nas investigações e identificação de responsáveis. Lembramos ainda que os logs reportados durante a vigência do Horário de Verão estarão no timezone UTC-0200 (GMT-2). Mais informações: . Decreto no. 6.558 de 8 de setembro de 2008 - Institui a hora de verão em parte do território nacional http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/decreto/d6558.htm . Observatório Nacional - Hora Legal Brasileira http://pcdsh01.on.br/Fusbr.htm ALTERAÇÕES DE CONFIGURAÇÃO NECESSÁRIAS PARA O HORÁRIO DE VERÃO 2009/2010 O horário de verão tem relação com o timezone (fuso horário) configurado no sistema. Ao alterar o timezone altera-se o parâmetro do sistema que determina a diferença em horas entre o horário absoluto (UTC / GMT 0) e o horário local. Se o relógio do sistema (horário absoluto) marca 16:00:00 UTC, ajustado por NTP, temos: . Para o timezone do Brasilia (UTC-3), o horário mostrado ao usuário será 13:00h ou UTC-3 (hora local) . Para o timezone de Paris (França - UTC+1) o horário mostrado ao usuário será 17:00h ou UTC+1 (hora local) Nenhuma modificação na configuração do serviço de NTP é necessária. Entretanto, deve-se tomar um cuidado especial com os servidores NTP (Stratum 1, Stratum 2 e outros) quando ocorrerem modificações de configuração para o horário de verão. Caso o servidor NTP detecte uma diferença maior do que 20 minutos entre o horário do sistema (horário absoluto) e o horário registrado pelo servidor NTP (ntpd, OpenNTPD), o serviço NTPD poderá parar. Assim, deve-se redobrar a atenção durante o processo de configuração do horário de verão em hosts que provêem este serviço. Lembramos também que, para algumas versões de Linux/Unix, poderá ser necessário reiniciar o daemon "cron" após o início do horário de verão, de forma que as tarefas agendadas através do Cron possam continuar a ser executadas no horário correto. Para mais informações, verifique o manual do "cron" e "crontab" do seu sistema. A seguir são descritos os procedimentos de atualização do localtime em sistemas FreeBSD, GNU/Linux, Solaris, AIX e Windows, bem como em alguns equipamentos Cisco que usam IOS. Antes de prosseguir com estes procedimentos é preciso que se saiba de antemão o timezone da sua região. 1. CISCO IOS 2. GNU/LINUX 3. FREEBSD 4. OPENBSD 5. SOLARIS 6. AIX 7. MS WINDOWS 1. CISCO IOS Será preciso incluir (ou atualizar) as seguintes linhas nos arquivos de configuração dos roteadores Cisco: clock timezone GMT-3 -3 clock summer-time GMT-2 date Oct 18 2009 0:00 Feb 21 2010 0:00 Os logs gerados pelo Cisco passarão a informar a hora como GMT-2, que é a nova configuração do timezone. 2. GNU/LINUX Usuários de sistemas baseados em GNU/Linux devem seguir o procedimento abaixo: 1. Verificar a existência do arquivo '/etc/localtime'. Se este arquivo existir verifique se ele é um link simbólico. Uma das formas de fazer esta verificação é executar o seguinte comando: $ file /etc/localtime localtime: timezone data A saída acima indica que se trata do próprio arquivo com dados de timezone. A saída abaixo indica um link para o arquivo. $ file /etc/localtime localtime: symbolic link to `/etc/localtime' Não é recomendado possuir o arquivo /etc/localtime como link simbólico. Sistemas cujo diretório /usr é acessivel (não tiver sido montado, por exemplo) no momento de inicialização da máquina, os dados do arquivo localtime não serão lidos. 2. Verificar se existe algum arquivo no diretório /usr/share/zoneinfo/Brazil que contenha informações relativas a outros anos. Normalmente este arquivo tem extensão ZIC (.zic). a) Se não existir um arquivo com tais dados então crie um novo (verao.2009.zic por exemplo) no diretório /usr/share/zoneinfo/Brazil/. Este arquivo deverá conter as seguintes linhas: Rule Brazil 2009 only - Oct 18 00:00 1 S Rule Brazil 2010 only - Feb 21 00:00 0 - Zone Brazil/East -3:00 Brazil BR%sT b) Se existir um arquivo com dados de outros anos basta inserir as linhas acima ao final do arquivo existente. As duas primeiras linhas de configuração acima informam quando se inicia o horário de verão, quando termina e qual é a ação tomada. Lembre-se de que no início do horário de verão a hora local é acrescida em uma (1) hora. A última linha informa qual arquivo será modificado pelo comando 'zic'. No exemplo acima será o arquivo 'East' (dentro do diretório Brazil). Esta linha também informa qual o timezone original da região - no caso de São Paulo (East) temos UTC-3. Caso você esteja utilizando um timezone diferente do adotado em São Paulo (East) modifique estes parâmetros para o timezone de sua região: #Fuso horario do Arquipelago de Fernando de Noronha: Zone Brazil/DeNoronha -2:00 Brazil FN%sT #Fuso horario dos estados a Leste Zone Brazil/East -3:00 Brazil BR%sT #Fuso horario dos estados a Oeste (AC, AM, RO, RR, MS, MT) Zone Brazil/West -4:00 Brazil AM%sT * Parâmetros definidos pela glibc presente em sistemas Linux, disponível para download em http://www.gnu.org/ 3. Uma vez feitos os devidos ajustes no arquivo 'verao.2009.zic' execute o comando 'zic': # zic verao.2009.zic Neste caso em particular o comando atualizará o arquivo East. 4. Para verificar se as configurações corretas foram feitas execute o comando 'zdump', conforme as orientações abaixo (troque East pelo timezone de sua região): # zdump -v Brazil/East Você deverá obter uma saída como esta: Brazil/East Sun Oct 19 02:59:59 2009 UTC = Sat Oct 17 23:59:59 2009 BRT isdst=0 gmtoff=-10800 Brazil/East Sun Oct 19 03:00:00 2009 UTC = Sun Oct 18 01:00:00 2009 BRST isdst=1 gmtoff=-7200 Brazil/East Sun Feb 16 01:59:59 2010 UTC = Sat Feb 20 23:59:59 2010 BRST isdst=1 gmtoff=-7200 Brazil/East Sun Feb 16 02:00:00 2010 UTC = Sat Feb 20 23:00:00 2010 BRT isdst=0 gmtoff=-10800 Note que em "Sat Oct 17 23:59:59 2009 BRT" o sistema ainda não está no horário de verão (indicacao 'BRT'). No segundo seguinte as modificações do horário de verão entram em vigor, adiantando o localtime em uma hora: "Sun Oct 18 01:00:00 2009 BRST" (O horário mostrado ao usuário passará para 1 da manhã e não para meia-noite, mostrando o adiantamento do horário). Em "Sat Feb 20 23:59:59 2010 BRST", o horário de verão terminará no segundo seguinte, com o localtime sendo então atrasado em 1 hora: "Sat Feb 20 23:00:00 2010 BRT" (o horário mostrado ao usuário voltará para 23:00). 5. Por último, se o arquivo /etc/localtime não for um link para o arquivo /usr/share/zoneinfo/Brazil/East, deve-se copiar o arquivo East para /etc/localtime $ cp East /etc/localtime 3. FREEBSD Usuários do sistema FreeBSD devem proceder da mesma forma que usuários GNU/Linux. A única diferença está no diretório onde deverá ser criado o arquivo 'verao.2009.zic' - /usr/share/zoneinfo. As linhas a serem incluídas neste arquivo, assim como em sistemas GNU/Linux, são: Rule Brazil 2009 only - Oct 18 00:00 1 S Rule Brazil 2010 only - Feb 21 00:00 0 - Zone hv2009 -3:00 Brazil BR%sT No exemplo acima, o nome 'hv2009' representa o arquivo que será criado ao executar o comando: # zic verao.2009.zic O arquivo conterá as informações do horário de verão e deverá ser copiado sobre /etc/localtime, lembrando que será preciso fazer uma cópia de segurança do arquivo /etc/localtime antes de sobrescrevê-lo. 4. OPENBSD Usuários do sistema OpenBSD devem proceder da mesma forma que usuários GNU/Linux. 5. SOLARIS Usuários de Solaris devem seguir o procedimento abaixo: 1. Verificar o zoneinfo respectivo. O arquivo /etc/TIMEZONE contém as informações relativas a qual arquivo será consultado para verificar o zoneinfo. # more /etc/TIMEZONE TZ=Brazil/East No exemplo acima o arquivo a ser consultado é East, no diretório Brazil. Por padrão este diretório deve estar em /usr/share/lib/zoneinfo. 2. Verificar se existe no diretório /usr/share/lib/zoneinfo algum arquivo em formato texto que contenha informações relativas a outros anos (geralmente um arquivo com extensao .zic). a) Se não existir um arquivo com tais informações crie um novo arquivo (brazil.zic por exemplo) e insira as seguintes linhas. Rule Brazil 2009 only - Oct 18 00:00 1 S Rule Brazil 2010 only - Feb 21 00:00 0 - Zone Brazil/East -3:00 Brazil BR%sT b) Se existir um arquivo com informações de horário de verão de outros anos basta inserir as linhas acima. As duas primeiras linhas informam quando inicia o horário de verão, quando termina e qual a acão a ser tomada. Lembre-se de que no início do horário de verão deve ser adicionada uma hora. A última linha diz qual arquivo será gerado pelo comando 'zic' - no exemplo será o arquivo 'East' (dentro do diretório Brazil). Esta linha também informa o timezone da região, no caso o de São Paulo, UTC-3. No exemplo que se segue existe um diretório 'Brazil' dentro de /usr/share/lib/zoneinfo que contém um arquivo brazil.zic, que deve ser atualizado com as linhas mencionadas acima. 3. Deve-se então gerar o novo arquivo (em formato binário) como segue: # zic brazil.zic 4. Para verificar se as configurações foram feitas corretamente execute o comando 'zdump' conforme as orientações abaixo (troque East pelo timezone de sua região): # zdump -v Brazil/East Você deverá obter uma saída como esta: Brazil/East Sun Oct 19 02:59:59 2009 UTC = Sat Oct 17 23:59:59 2009 BRT isdst=0 Brazil/East Sun Oct 19 03:00:00 2009 UTC = Sun Oct 18 01:00:00 2009 BRST isdst=1 Brazil/East Sun Feb 16 01:59:59 2010 UTC = Sat Feb 20 23:59:59 2010 BRST isdst=1 Brazil/East Sun Feb 16 02:00:00 2010 UTC = Sat Feb 20 23:00:00 2010 BRT isdst=0 6. AIX Usuários de AIX devem alterar o arquivo /etc/environment incluindo a diretiva: 2009: TZ=GRNLNDST3GRNLNDDT,M10.3.0/00:00:00,M2.3.0/00:00:00 Isto indica que o horário de verão se inicia às 00:00 do terceiro domingo do mês 10 (18 de outubro) e finaliza às 00:00 do terceiro domingo do mes 2 (21 de fevereiro), seguindo a seguinte sintaxe: 2009: TZ=GRNLNDST3GRNLNDDT,Mm.w.wd/00:00:00,Mm.w.wd/00:00:00 * m - mês ( 1 < m < 12 ) * w - ocorrência do dia da semana no mês contados a partir do dia 1o. (1 < d < 5) * wd - dia da semana ( 0 < n < 5 : Domingo corresponde a 0) * hh:mm - horário 7. MS WINDOWS Em Abril de 2008 foi sancionada a lei no. 11.662/08, que reduziu o número de fusos horários brasileiros para três. Os fusos horários dos estados do Acre, Pará e Amazonas foram afetados. Em Agosto a Microsoft disponibilizou uma atualização cumulativa que trata desta mudança. . August 2008 cumulative time zone update for Microsoft Windows operating systems http://support.microsoft.com/kb/951072 Para sistemas Windows 9*/NT/2000/XP recomenda-se o uso do utilitário TZEDIT (tzedit.exe), incluido no CD do Resource Kit que acompanha a distribuição do sistema. Não existe URL oficial para download deste programa no site da Microsoft, mas ele pode ser facilmente encontrado na Internet, lembrando que neste último caso não se garante a integridade do programa. Uma segunda opção para modificação do timezone em Windows XP é a utilizacao do utilitário 'timezone.exe', disponível para download em: . Microsoft Download Center - Windows XP Service Pack 2 Support Tools http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=en O download é precedido de um processo de validação, que verifica se sua instalação de Microsoft Windows é genuína. Administradores de sistemas Windows que queiram automatizar a atualização do horário de verão podem encontrar mais informações em: . How to configure daylight saving time dates for Brazil http://support.microsoft.com/?kbid=317211 Para a configuração de timezone do seu sistema utilizando o comando 'timezone.exe' siga os seguintes passos: 1. Faca o download do "Windows XP Service Pack 2 Support Tools" e instale-o no seu sistema, caso você não possua o utilitário 'timezone.exe'. 2. Em um prompt de comando (cmd.exe) execute, a partir do diretório "Program Files\Support Tools" (se foi utilizada a instalação padrão), o seguinte comando: C:\Program Files\Support Tools>timezone.exe /s 00:0:3:10 00:0:3:02 As configurações acima seguem o formato: Hora:DiaDaSemana:Dia:Mes Hora:DiaDaSemana:Dia:Mes (Início horário de verão) (Fim horário de verão) Hora: Hora (00 ate 23) DiaDaSemana: Dia da semana (0 - 6 : 0 = Domingo, 1 = Segunda, etc) Dia: Ocorrência do dia da semana no mês ( 1 - 5 : Exemplo -> no caso do dia da semana ser Terça-Feira: 1 - primeira terça do mês, 2 - segunda terça do mês, etc) Mes: Mês do ano (01 - 12) 3. Execute o seguinte comando para verificar se as modificações ocorreram com sucesso: C:\Program Files\Support Tools>timezone.exe /g Current Timezone is : Daylight Saving Time begins at 00:0:3:10 Daylight Saving Time ends at 00:0:3:02 4. Configure o sistema para utilizar automaticamente as configurações do horário de verão: . Start -> Settings -> Control Panel -> Date and Time -> Timezone; . Certifique-se que você esteja utilizando o timezone de Brasília (UTC-0300); . Certifique-se que a caixa "Automaticamente ajuste o relógio para o horário de verão" esteja marcada. Para configuração de Horário de Verão em sistemas Microsoft Windows Vista por favor consulte a seguinte página da Microsoft: . Microsoft - Windows - Ajuste o horário de verão do seu Windows http://www.microsoft.com/brasil/windows/products/windowsvista/verao.mspx O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANÇA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 19-3787-3300 Fax. 19-3787-3301 # # Chave PGP disponÍvel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBStcp4ukli63F4U8VAQH8AAP9E6isCVXHpN817pEbBnNWxa2hVAZv+hhU I5IvuBA0xLySOu1Y6DTD9LX6O6rpY6rul06CpCD6r7v7GIfFDrJwJ1UtXLOX9GH6 KBUuxMNzSP4smwYtvLweTIrF4ziQmyaSJo/3mtf7/k+L7k4gAiJYmpD3SwViQ24Y HoTL+2vSpcg= =KZ5S -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Oct 21 15:08:23 2009 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 21 Oct 2009 15:08:23 -0200 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA09-294A -- Oracle Updates for Multiple Vulnerabilities Message-ID: <20091021170817.GA53395@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA09-294A -- Oracle Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Wed, 21 Oct 2009 11:43:21 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA09-294A Oracle Updates for Multiple Vulnerabilities Original release date: Last revised: -- Source: US-CERT Systems Affected * Oracle Database 11g, version 11.1.0.7 * Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4 * Oracle Database 10g, version 10.1.0.5 * Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV * Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.4.0, 10.1.3.5.0 * Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0 * Oracle Business Intelligence Enterprise Edition, versions 10.1.3.4.0, 10.1.3.4.1 * Oracle E-Business Suite Release 12, versions 12.0.6, 12.1 * Oracle E-Business Suite Release 11i, version 11.5.10.2 * AutoVue, version 19.3 * Agile Engineering Data Management (EDM), version 6.1 * PeopleSoft PeopleTools & Enterprise Portal, version 8.49 * PeopleSoft Enterprise HCM (TAM), versions 8.9 and 9.0 * JDEdward Tools, version 8.98 * Oracle WebLogic Server 10.0 through MP1 and 10.3 * Oracle WebLogic Server 9.0 GA, 9.1 GA and 9.2 through 9.2 MP3 * Oracle WebLogic Server 8.1 through 8.1 SP5 * Oracle WebLogic Server 7.0 through 7.0 SP6 * Oracle WebLogic Portal, versions 8.1 through 8.1 SP6, 9.2 through 9.2 MP3, 10.0 through 10.0MP1, 10.2 through 10.2MP1 and 10.3 through 10.3.1 * Oracle JRockit R27.6.4 and earlier (JDK/JRE 6, 5, 1.4.2) * Oracle Communications Order and Service Management, versions 2.8.0, 6.2.0, 6.3.0 and 6.3.1 Overview Oracle products and components are affected by multiple vulnerabilities. The impacts of these vulnerabilities include remote execution of arbitrary code, information disclosure, and denial of service. I. Description The Oracle Critical Patch Update Advisory - October 2009 addresses 16 vulnerabilities in various Oracle products and components. The document provides information about affected components, access and authorization required for successful exploitation, and the impact from the vulnerabilities on data confidentiality, integrity, and availability. Oracle has associated CVE identifiers with the vulnerabilities addressed in this Critical Patch Update. If significant additional details about vulnerabilities and remediation techniques become available, we will update the Vulnerability Notes Database. II. Impact The impact of these vulnerabilities varies depending on the product, component, and configuration of the system. Potential consequences include the execution of arbitrary code or commands, information disclosure, and denial of service. Vulnerable components may be available to unauthenticated, remote attackers. An attacker who compromises an Oracle database may be able to access sensitive information. III. Solution Apply the appropriate patches or upgrade as specified in the Oracle Critical Patch Update Advisory - October 2009. Note that this document only lists newly corrected issues. Updates to patches for previously known issues are not listed. IV. References * Oracle Critical Patch Update Advisory - October 2009 - * Critical Patch Updates and Security Alerts - * Map of Public Vulnerability to Advisory/Alert - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA09-294A Feedback VU#380405" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2009 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History October 21, 2009: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBSt8rFNucaIvSvh1ZAQKyfAgAqJdQ8FOyuTBZcI5d8vDwuWIv5CboaPOJ Y1LLgk25C4GjjdcGhkLMcWbmugtzNnsIck1K8/EeaoFgHQOuu34fdmq6Em2UxAQM VMneplCElfXXSVSKNdWUxqZinX5SuTOeGf1IPbtP9cePoHK5uvW5vSwO0WvtoOqB ML3Ge0dJn+kfK/g44dmjEfgW0/S5PcVDfS8CuHfuDRwHAMqP4xSd6dYubwAUEFah O/Yg8RQbrgTlJmusyRXU8qyZdRAQSx6alE+rqkRkO8J++MmQEY0MD1b1Dl8M+Dgh RZAD3Nudfwh08BnYIBVoK202+OTsTy0VQGz0c2GoTwHDMxI65kklLg== =FqX8 -----END PGP SIGNATURE----- ----- End forwarded message -----