From security em unicamp.br Wed Aug 10 09:30:02 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 10 Aug 2011 09:30:02 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA11-221A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20110810123002.GA6228@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA11-221A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 9 Aug 2011 15:37:51 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA11-221A Microsoft Updates for Multiple Vulnerabilities Original release date: August 09, 2011 Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows * Microsoft Office * Internet Explorer * .NET Framework * Microsoft Developer Tools Overview There are multiple vulnerabilities in Microsoft Windows, Microsoft Office, Internet Explorer, .NET Framework, and Microsoft Developer Tools. Microsoft has released updates to address these vulnerabilities. I. Description The Microsoft Security Bulletin Summary for August 2011 describes multiple vulnerabilities in Microsoft Windows, Microsoft Office, Internet Explorer, .NET Framework, and Microsoft Developer Tools. Microsoft has released updates to address these vulnerabilities. II. Impact A remote, unauthenticated attacker could execute arbitrary code, cause a denial of service, or gain unauthorized access to your files or system. III. Solution Apply updates Microsoft has provided updates for these vulnerabilities in the Microsoft Security Bulletin Summary for August 2011. That bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. In addition, administrators should consider using an automated-update distribution system such as Windows Server Update Services (WSUS). IV. References * Microsoft Security Bulletin Summary for August 2011 - * Microsoft Windows Server Update Services - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA11-221A Feedback VU#758515" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2011 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History August 09, 2011: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBTkGLuD6pPKYJORa3AQJ2swf9Gx3ksC+lpSJ6UQKoIRs0+8Fi9txsEUSo DlOQPhAIdV4uM55fo+qBZ9GzNX0GAxQ/jqrmzKR0FDAKHE5f7DrkthzU+4aAMnVM 1Tg6eMDQ+YiWLV/y70qoQduNPclx+COHzfVabBOQFpKi8GOOhTOCG8NVZxGGEmiE oKs3O7+ov8b61l+8h6U2dPKu8xvhnVh8gAMUCUDkW/w+rDwuIzNjQGiH9x51WKmR 5liqXnR1iICRMID5Z8GgeGJmKmYjq8L4hz+QmGXpdmL+7VNPSO4Jr7NE4Mlylark mYtxHWNNLjo8x6F4qCLpUVIgnx6n048sZGfkkxrOLZG9mkS09V+mqA== =3Hln -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Aug 11 09:32:13 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 11 Aug 2011 09:32:13 -0300 Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Segurana Microsoft - Agosto/2011 Message-ID: <20110811123213.GC14755@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Agosto/2011 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 10 Aug 2011 11:59:55 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, A Microsoft publicou 13 boletins de segurança em 09 de agosto que abordam ao todo 23 vulnerabilidades em produtos da empresa. A exploração destas vulnerabilidades permitem execução remota de código, divulgação não autorizada de informações, elevação de privilégios de usuários locais conectados e negação de serviço (DoS). No momento da publicação deste resumo há exploração ativa de duas vulnerabilidades do boletim: MS11-057 e MS11-065. SEVERIDADE . Crítica - MS11-057 - Update de segurança cumulativo para Internet Explorer, para correção de vulnerabilidades que permitem execução remota de código. - MS11-058 - Vulnerabilidades no servidor DNS que permitem execução remota de código. . Importante - MS11-059 - Vulnerabilidade em componentes de acesso a dados que permite execução remota de código. - MS11-060 - Vulnerabilidades no Microsoft Visio que permitem execução remota de código. - MS11-061 - Vulnerabilidade na interface de acesso web do Remote Desktop que permite elevação de privilégios de usuários locais conectados. - MS11-062 - Vulnerabilidade no driver NDISTAPI do serviço de acesso remoto que permite elevação de privilégios de usuários locais conectados. - MS11-063 - Vulnerabilidade no Windows Client/Server Run-time Subsystem que permite elevação de privilégios de usuários locais conectados. - MS11-064 - Vulnerabilidade na implementação da pilha TCP do Windows que permite negação de serviço (DoS). - MS11-065 - Vulnerabilidade no protocolo do Remote Desktop que permite negação de serviço (DoS). - MS11-066 - Vulnerabilidade no Microsoft Chart Control que permite divulgação não autorizada de informações. - MS11-067 - Vulnerabilidade no Microsoft Report Viewer que permite divulgação não autorizada de informações. . Moderada - MS11-068 - Vulnerabilidade no kernel do Windows que permite negação de serviço (DoS). - MS11-069 - Vulnerabilidade no framework .NET que permite divulgação não autorizada de informações. . Baixa - Nenhum boletim O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas. . Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário. . Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento. . Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração. . Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar os sistemas para as versões disponíveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx MAIS INFORMAÇÕES . Microsoft Security Bulletin Summary for August 2011 http://www.microsoft.com/technet/security/bulletin/ms11-aug.mspx . Microsoft TechCenter de Segurança http://technet.microsoft.com/pt-br/security/ . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ . Microsoft Security Research & Defense - MSRD http://blogs.technet.com/srd/ . Segurança Microsoft http://www.microsoft.com/brasil/security/ . SANS ISC Handler's Diary - August 2011 Microsoft Black Tuesday Overview http://isc.sans.edu/diary/Microsoft+August+2011+Black+Tuesday+Overview/11341 . MS11-057 - Cumulative Security Update for Internet Explorer (2559049) http://www.microsoft.com/technet/security/bulletin/MS11-057.mspx . MS11-058 - Vulnerabilities in DNS Server Could Allow Remote Code Execution (2562485) http://www.microsoft.com/technet/security/bulletin/ms11-058.mspx . MS11-059 - Vulnerability in Data Access Components Could Allow Remote Code Execution (2560656) http://www.microsoft.com/technet/security/bulletin/ms11-059.mspx . MS11-060 - Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution (2560978) http://www.microsoft.com/technet/security/bulletin/ms11-060.mspx . MS11-061 - Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege (2546250) http://www.microsoft.com/technet/security/bulletin/ms11-061.mspx . MS11-062 - Vulnerability in Remote Access Service NDISTAPI Driver Could Allow Elevation of Privilege (2566454) http://www.microsoft.com/technet/security/bulletin/ms11-062.mspx . MS11-063 - Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2567680) http://www.microsoft.com/technet/security/bulletin/ms11-063.mspx . MS11-064 - Vulnerabilities in TCP/IP Stack Could Allow Denial of Service (2563894) http://www.microsoft.com/technet/security/bulletin/ms11-064.mspx . MS11-065 - Vulnerability in Remote Desktop Protocol Could Allow Denial of Service (2570222) http://www.microsoft.com/technet/security/bulletin/ms11-065.mspx . MS11-066 - Vulnerability in Microsoft Chart Control Could Allow Information Disclosure (2567943) http://www.microsoft.com/technet/security/bulletin/ms11-066.mspx . MS11-067 - Vulnerability in Microsoft Report Viewer Could Allow Information Disclosure (2578230) http://www.microsoft.com/technet/security/bulletin/ms11-067.mspx . MS11-068 - Vulnerability in Windows Kernel Could Allow Denial of Service (2556532) http://www.microsoft.com/technet/security/bulletin/ms11-068.mspx . MS11-069 - Vulnerability in .NET Framework Could Allow Information Disclosure (2567951) http://www.microsoft.com/technet/security/bulletin/ms11-069.mspx Identificador CVE (http://cve.mitre.org): CVE-2011-1257, CVE-2011-1263, CVE-2011-1347, CVE-2011-1871, CVE-2011-1960, CVE-2011-1961, CVE-2011-1962, CVE-2011-1963, CVE-2011-1964, CVE-2011-1965, CVE-2011-1966, CVE-2011-1967, CVE-2011-1968, CVE-2011-1970, CVE-2011-1971, CVE-2011-1972, CVE-2011-1974, CVE-2011-1975, CVE-2011-1976, CVE-2011-1977, CVE-2011-1978, CVE-2011-1979, CVE-2011-2383 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTkKdFukli63F4U8VAQHMiAQAm7DrijILZUXDbWCg3VxARTiDqmdIO3YW 7rG+2jjjxty5SjEWZR+ZNg3X4GkFLf84dQvXQLFIuCOCaUU7CNJ54kOTfOXZtraE xn5DmwDFLrJvpoUKHm4pzr/Ch1AI1ecy2zUoId4a7AOUOc9fWMgnAXHoG7DwkttR 7QerP0b3rMA= =WRT9 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Aug 11 09:32:49 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 11 Aug 2011 09:32:49 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA11-222A -- Adobe Updates for Multiple Vulnerabilities Message-ID: <20110811123249.GD14755@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA11-222A -- Adobe Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Wed, 10 Aug 2011 17:24:11 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA11-222A Adobe Updates for Multiple Vulnerabilities Original release date: August 10, 2011 Last revised: -- Source: US-CERT Systems Affected * Shockwave Player 11.6.0.626 and earlier versions for Windows and Macintosh * Flash Media Server 4.0.2 and earlier versions for Windows and Linux * Flash Media Server 3.5.6 and earlier versions for Windows and Linux * Adobe Flash Player 10.3.181.36 and earlier versions for Windows, Macintosh, Linux, and Solaris operating systems * Adobe Flash Player 10.3.185.25 and earlier versions for Android * Adobe AIR 2.7 and earlier versions for Windows, Macintosh, and Android * Adobe Photoshop CS5 and CS5.1 and earlier versions for Windows and Macintosh * RoboHelp 9 (versions 9.0.1.232 and earlier), RoboHelp 8, RoboHelp Server 9, and RoboHelp Server 8 for Windows Overview There are multiple vulnerabilities in Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5, and RoboHelp. Adobe has released updates to address these vulnerabilities. I. Description Adobe security bulletins APSB11-19, APSB11-20, APSB11-21, APSB11-22, and APSB11-23 describe multiple vulnerabilities in Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5, and RoboHelp. An attacker may use these vulnerabilities to run malicious code or cause a denial of service on an affected system. Adobe has released updates to address these vulnerabilities. II. Impact These vulnerabilities could allow an attacker to run malicious code on the affected system or cause a denial of service. III. Solution Users of these Adobe products should review the relevant Adobe security bulletins and follow the recommendations in the "Solution" section. APSB11-19: Security update available for Adobe Shockwave Player APSB11-20: Security update available for Adobe Flash Media Server APSB11-21: Security update available for Adobe Flash Player APSB11-22: Security update available for Adobe Photoshop CS5 APSB11-23: Security updates available for RoboHelp IV. References * Security update available for Adobe Shockwave Player - * Security update available for Adobe Flash Media Server - * Security update available for Adobe Flash Player - * Security update available for Adobe Photoshop CS5 - * Security updates available for RoboHelp - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA11-222A Feedback VU#628023" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2011 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History August 10, 2011: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBTkKXaz6pPKYJORa3AQL/lQgAgO8eDjAJt7tFpd9jW8YY0yf92QY84f2r TQcMgYyxhyyuA0joIWQ7k6BkszfNns03tr6k9ay2r2e3dICUhtgugh20yeoyV6ua gwII/qNhPoVPlt3z3yJR4BQzhlyAYMlG4CKJWxX84Hkpq9FeQYDRO6Ni8WF2wiUC eeT7feK10Q+3w0UZinW11Cz6GISqQeb8E0YVX7lNH8svA/Du9UdOFnRgbWeBRtM9 4Fj+eRVdYqxpxy7z85EPIGwrKIop/D/HXaaNpXbkru1iXkLvAbBi2hpd4aeaQHva wpaAuNYwv5WxbdmcarXuJqs3a0v9+Mwd39bf8OxqUXLUX8h4LyGWJA== =QDsc -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon Aug 29 16:51:56 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 29 Aug 2011 16:51:56 -0300 Subject: [SECURITY-L] CAIS-Alerta:Vulnerabilidade no Apache causa negao de servio Message-ID: <20110829195156.GA70489@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta:Vulnerabilidade no Apache causa negação de serviço To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Mon, 29 Aug 2011 16:26:52 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está divulgando um alerta sobre uma vulnerabilidade no servidor web Apache, que ao ser explorada causa negação de serviço (DoS). Devido à uma vulnerabilidade reportada em 2007 e, até o momento da divulgação deste alerta, ainda não corrigida em todas versões do Apache, um atacante pode explorá-la causando um uso excessivo de recursos no servidor, implicando assim em uma negação de serviço. Esta vulnerabilidade pode ser explorada remotamente através de requisições HTTP mal-formadas ou com a utilização do exploit específico desenvolvido para a vulnerabilidade. CORREÇÕES DISPONÍVEIS Até o momento da divulgação deste alerta, não foram disponibilizadas correções para esta vulnerabilidade. O CAIS recomenda a aplicação das contramedidas abaixo para contenção dos ataques: 1. Atualizar o Apache para última versão disponível (2.2.19, 2.0.64 ou 1.3.42) - A contra-medida abaixo foi testada na versão 2.2.19. 2. Desabilitar a compresssão "on-the-fly": 2.1 Desabilitar o módulo mod_deflate: a) Editar o arquivo de configuração do apache e comentar a linha abaixo: LoadModule deflate_module lib/httpd/modules/mod_deflate.so 3. Utilizar o módulo mod_headers para desabilitar o uso de "Range headers": a) Verificar se o módulo mod_headers está sendo carregado: LoadModule headers_module lib/httpd/modules/mod_headers.so b) Adicionar a seguinte linha às sessões , e : RequestHeader unset Range c) Limitar o tamanho do "request field" para algumas centenas de bytes. Note que esta alteração pode impactar no funcionamento de cookies e campos seguros, assim, recomenda-se testar a implementação desta solução em um ambiente de testes, antes de colocá-la em produção. A linha abaixo deve ser configurada por na sessão global ou por . LimitRequestFieldSize 200 4. Reiniciar o serviço httpd SISTEMAS AFETADOS São afetadas por esta vulnerabilidade as todas as versões iguais ou inferiores à: . 2.2.19 . 2.0.64 . 1.3.x MAIS INFORMAÇÕES . Revival of an Unpatched Apache HTTPD DoS http://isc.sans.edu/diary.html?storyid=11449 . Apache Module mod_deflate http://httpd.apache.org/docs/2.2/mod/mod_deflate.html . Apache LimitRequestFieldSize Directive http://httpd.apache.org/docs/2.2/mod/core.html#limitrequestfieldsize . Apache mailing list: Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x \(CVE-2011-3192\) http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD em minotaur.apache.org%3E Identificador CVE, ainda em revisão (http://cve.mitre.org): CVE-2011-3192 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @caisrnp. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTlvoDukli63F4U8VAQFvQgQAqtdzwvrYxM6drvYfxtf+ohDiOXFg4UAt ut5OORTAQnI9WieKNoAG9sBrmiA+6ZBtBwtDh9QvO29DErYGYUZ4egt5JOLojgL0 YqOJO88xDYgtbH1FIDxIFnao4VbmMc/y7LOF01wnGU2Hn1JUZTxbSzjQNzG40MOX CEm0zQXiTWE= =nQPd -----END PGP SIGNATURE----- ----- End forwarded message -----