From security em unicamp.br Wed Feb 2 09:47:19 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 2 Feb 2011 09:47:19 -0200 Subject: [SECURITY-L] CAIS-Alerta: O fim do IP conforme ns conhecemos Message-ID: <20110202114719.GA48459@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: O fim do IP conforme nós conhecemos To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 1 Feb 2011 18:51:41 -0200 (BRST) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando uma notícia publicada pelo ISC (Internet Storm Center) intitulada "The End Of IP As We Know It", que trata do esgotamento de endereçamento IPv4 disponível. No dia 01 de fevereiro de 2011 a IANA (Internet Assigned Numbers Authority), responsável pela coordenação global dos endereços IP, DNS raíz e pelo registro de protocolos de Internet anunciou a distribuição de mais duas classes de endereçamento IPv4 /8 à APNIC (Asia Pacific Network Information Centre). Como resultado, restaram somente 5 classes /8 à IANA, que colocou em prática uma política especial de distribuí-las à cada um dos registros regionais (RIR): AFRNIC (África), APNIC (Ásia Pacifico), ARIN (América do Norte), LACNIC (América Latina) e RIPE (Europa). Para esclarecer possíveis dúvidas sobre o esgotamento do endereçamento IPv4 disponível, o ISC preparou um FAQ sobre o tema. O FAQ segue traduzido ao final deste alerta. A IANA fornece endereçamentos IPs aos RIRs em blocos /8, repassando-os aos provedores de internet, que, por sua vez, os alocam aos usuários finais. MAIS INFORMAÇÕES . The End Of IP As We Know It http://isc.sans.edu/diary.html?storyid=10342 . IANA IPv4 Address Space Registry http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml . Leading Global Internet Groups make Significant Announcement about the Status of the IPv4 Address Pool http://www.apnic.net/publications/news/2011/leading-global-internet-groups-make-significant-announcement-about-the-status-of-the-ipv4-address-pool . IPv6.BR http://www.ipv6.br/ Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ ================================================================ 1 - A Internet vai parar de funcionar? Não. Na verdade, é improvável que a Internet IPv4 vá parar tão cedo. É provável que ela coexista pacificamente ao lado da Internet IPv6. Já existem alguns mecanismos de transição entre as duas versões. Apesar de não ser uma solução elegante, as duas "internets" podem falar entre si através de proxies e túneis. 2 - Por que os endereços foram extintos? Com IPv4 é possível alocar cerca de 4 bilhões de endereços. Há cerca de 6 bilhões de pessoas no mundo, imagine quantos endereços você precisa (telefone de casa, trabalho ...)? É uma questão simples de matemática, agravado pelo fato de que para ter um roteamento eficiente, não é possível alocar todos os endereços. 3 - Vários endereços IPv4 ainda não são utilizados. Por que não utilizá-los de forma mais eficaz? O problema não é somente o fato de esgotarem os endereços, ainda que este seja o motivo principal, a atribuição de endereços de forma mais eficaz implicaria em alocações menores, o que tornaria mais complexas as tabelas de roteamento. Para fazer isto, seria necessário "re-numerar" a Internet, e ainda assim, ficaríamos sem endereços disponíveis em algum momento. 4 - E sobre a alocação de espaço IPv4 legada? A Apple realmente precisa de um /8? No início da Internet, espaço de endereçamento IPv4 foi entregue de uma forma muito liberal. Lembre-se que a Internet era apenas uma experiência! Alguns dos participantes originais ainda têm grandes alocações IPv4 e não as utilizam de forma eficiente. No entanto, mesmo se todos eles entregassem seus espaços de volta, atrasaria o problema por apenas 1 ou 2 anos e implicaria em um grande custo para as empresas afetadas (e estas possuem contratos dando-lhes o direito de usar o espaço de endereço). Algumas "alocações legadas" foram devolvidas no passado. 5 - O que eu preciso fazer hoje? Não precisa se desesperar. Nada vai acontecer tão rápido. Os RIRs (Regional Internet Registries) ainda possuem endereços alocáveis por alguns meses e, dependendo da região, por um ano. Quando estas alocações se esgotarem é que vai ficar mais complicado. Ficará mais difícil obter espaço de endereços IPv4. Eventualmente, os ISP (Internet Service Providers) poderão solicitar de volta espaços alocados a clientes, visto que eles não terão como obter novos endereços com o RIR. Ao longo do tempo, alocação de espaço IPv4 vai ficar mais cara que IPv6. 6 - Então, eu posso apenas esperar e não fazer nada? Não. O que você deve fazer amanhã (talvez hoje?) é configurar um laboratório de testes para se familiarizar com o IPv6. É fácil para começar. Pergunte ao seu ISP se ele já suporta IPv6 (ou quando suportará), ou configure um túnel com um provedor gratuito como o túnel Hurricane Electric [2] ou SixXS [3] (existem outros). Você precisa de um planejamento para saber como lidar com esta nova tecnologia. Mesmo que você não precise de IPv6, talvez seus parceiros de negócios podem começar a utilizá-lo e você precisará conectá-los via IPv6. 7 - Não posso simplesmente ignorá-lo? Lembre-se, porque você está usando o IP em primeiro lugar? Ele permite que você se conecte com clientes, fornecedores, filiais etc. Em suma: te mantém no negócio. Assim que estes parceiros começarem a migrar para conectividade IPv6, você provavelmente terá que mudar também. É como qualquer outra tecnologia, no fim ela tem que dar suporte ao negócio (e bem... também é muito divertido!). 8 - O que vai mudar a partir de um ponto de vista da segurança? Tudo e nada. A mudança mais importante de IPv4 para IPv6 é provavelmente o fato de que o NAT (Network Address Translation) vai se tornar menos importante. Proteção ao usuário final e firewalls bem configurados se tornarão mais importantes. A detecção passiva de recurso se tornará mais importante em relação à varredura ativa. Há um monte de artefatos de segurança que você possui e que provavelmente faz um péssimo trabalho ao lidar com IPv6. Eu mencionei que isto requer um planejamento e teste? -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTUhyZ+kli63F4U8VAQGM+AQAqdd62NQDWtkUfsqjSX0uEG+A3fNPI/Ty Bx1ssDGwtmCe69E5IKFBCTBPDuw9dzm851GJffeautwqRHiumfa3FmZvPecUTNS5 3J7IsN9LAK7GdodI6nsCRS4NP0hcIitNq9UawpJX49ViBUKmGowz+80ae5RSeasj Z3IRSoMST/k= =yU19 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Feb 2 12:06:41 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 2 Feb 2011 12:06:41 -0200 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no MHTML Message-ID: <20110202140641.GB48459@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no MHTML To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 2 Feb 2011 11:32:27 -0200 (BRST) -----BEGIN PGP SIGNED MESSAGE----- Prezados, o CAIS está repassando o alerta divulgado pela Microsoft intitulado "Vulnerability in MHTML Could Allow Information Disclosure", relacionado a uma vulnerabilidade no MHTML (MIME Encapsulation of Aggregate HTML). A vulnerabilidade afeta todas as versões do Microsoft Windows, ela permite que um atacante, através de códigos maliciosos colocados em sites, colete informações do usuário e instale programas maliciosos sem seu conhecimento, caso o usuário acesse tais sites. A Microsoft tomou conhecimento da publicação de códigos de teste, conhecidos como provas de conceito (PoC), que exploram a vulnerabilidade na forma como o Internet Explorer manipula documentos no formato MHTML. Ainda não se tem conhecimento da exploração desta vulnerabilidade em larga escala. CORREÇÕES DISPONÍVEIS Não existe atualização disponível para correção desta vulnerabilidade, dessa forma a Microsoft recomenda que medidas alternativas sejam aplicadas. Visando automatizar e facilitar o processo de mitigação a Microsoft disponibilizou em seu site uma ferramenta que implementa pequenas alterações no sistema operacional visando contornar o problema. A ferramenta para mitigação do problema pode ser baixada a partir do endereço: . Microsoft Security Advisory: Vulnerability in MHTML could allow information disclosure http://support.microsoft.com/kb/2501696 MAIS INFORMAÇÕES . Microsoft Security Advisory (2501696): Vulnerability in MHTML Could Allow Information Disclosure http://www.microsoft.com/technet/security/advisory/2501696.mspx . Microsoft Security Advisory for MHTML via Internet Explorer (MS2501696/CVE-2011-0096) http://isc.sans.edu/diary.html?date=2011-01-27 . More information about the MHTML Script Injection vulnerability http://blogs.technet.com/b/srd/archive/2011/01/28/more-information-about-the-mhtml-script-injection-vulnerability.aspx . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTUlc/ukli63F4U8VAQG8TQQAp3ZKxoMZRsw2ySgw4RVrhhnkdP3AkV9s F0AJrGo9dsNYSYbDx4kVTw3eGOJbdiByF8G2/4G0wbW5M+ozO2hH9yrdAAK3LmzG mjDU0RbTKwT8euv7aZsNFjT5yJN+Y0ajyzajimrxiT1uol6FJ6uCBMIXoc9fLmms aIuwYk4m3mI= =QF2A -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Tue Feb 8 09:30:03 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Tue, 8 Feb 2011 09:30:03 -0200 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade no Majordomo Message-ID: <20110208113003.GA22332@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Vulnerabilidade no Majordomo To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br cc: wando.soares em rnp.br Date: Mon, 7 Feb 2011 17:30:48 -0200 (BRST) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela SecurityFocus intitulado "Majordomo 2 'help' Command Directory Traversal Vulnerability", relacionado a uma vulnerabilidade presente no gerenciador de listas de e-mail Majordomo. A vulnerabilidade afeta todas as versões do Majordomo2 anteriores a 20110131.A mesma pode ser explorada por todas as interfaces do Majordomo2(HTTP e SMTP),permitindo que um atacante acesse diretórios no sistema operacional.Uma possível aplicação da vulnerabilidade é coletar informações (usuário e senha) dos membros da lista. No momento da publicação deste alerta há exploração ativa desta vulnerabilidade através de uma prova de conceito (PoC), que explora a mesma na forma como a função _list_file_get() manipula consultas realizadas contendo as sequências de caracteres "../../" . Ainda não se tem conhecimento da exploração desta vulnerabilidade em larga escala. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar a versão do Majordomo para 20110131 ou versões superiores. . Majordomo Update http://ftp.mj2.org/pub/mj2/snapshots/2011-02/ MAIS INFORMAÇÕES . BID:46127 http://www.securityfocus.com/archive/1/archive/1/516150/100/0/threaded . ISS X-Force Database: majordomo-listfile-directory-traversal (65113) http://xforce.iss.net/xforce/xfdb/65113 . SECUNIA:43125 http://secunia.com/advisories/43125 . Majordomo 2 Information for VU#363726 http://www.kb.cert.org/vuls/id/MORO-8DRRFT Identificador CVE (http://cve.mitre.org): CVE-2011-0049 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTVBIjekli63F4U8VAQH/4wP8D6N+ipsrE0Vt8i1HuyBxhWeruRzu317+ YJ/sYooVBWrLljQKnE1qUALNwdLI24laaFbvF+4lC6DMj6/SXeyR7j6/UtrfQKk6 GzvThCm5zM3aEJ26xB6KSUOs4/hZ2e0/8esAyqhU6kBPgClLxBLEwy8c0w5pjOwD QykED9SWoxA= =hBjF -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Feb 9 09:57:05 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 9 Feb 2011 09:57:05 -0200 Subject: [SECURITY-L] Microsoft Security Bulletin Summary for February 2011 Message-ID: <20110209115704.GA31484@unicamp.br> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ******************************************************************** Microsoft Security Bulletin Summary for February 2011 Issued: February 8, 2011 ******************************************************************** This bulletin summary lists security bulletins released for February 2011. The full version of the Microsoft Security Bulletin Summary for February 2011 can be found at http://www.microsoft.com/technet/security/bulletin/ms11-feb.mspx. With the release of the bulletins for February 2011, this bulletin summary replaces the bulletin advance notification originally issued on February 3, 2011. For more information about the bulletin advance notification service, see http://www.microsoft.com/technet/security/Bulletin/advance.mspx. To receive automatic notifications whenever Microsoft Security Bulletins are issued, subscribe to Microsoft Technical Security Notifications on http://www.microsoft.com/technet/security/bulletin/notify.mspx. Microsoft is hosting a webcast to address customer questions on these bulletins on February 9, 2011, at 11:00 AM Pacific Time (US& Canada). Register for the Security Bulletin Webcast at http://www.microsoft.com/technet/security/bulletin/summary.mspx. Microsoft also provides information to help customers prioritize monthly security updates with any non-security, high-priority updates that are being released on the same day as the monthly security updates. Please see the section, Other Information. Critical Security Bulletins =========================== Microsoft Security Bulletin MS11-003 - Affected Software: - Windows XP Service Pack 3: - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 - Windows XP Professional x64 Edition Service Pack 2: - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 - Windows Server 2003 Service Pack 2: - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 - Windows Server 2003 x64 Edition Service Pack 2: - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 - Windows Server 2003 with SP2 for Itanium-based Systems: - Internet Explorer 6 - Internet Explorer 7 - Windows Vista Service Pack 1 and Windows Vista Service Pack 2: - Internet Explorer 7 - Internet Explorer 8 - Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2: - Internet Explorer 7 - Internet Explorer 8 - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2: - Internet Explorer 7 (Windows Server 2008 Server Core installation not affected) - Internet Explorer 8 (Windows Server 2008 Server Core installation not affected) - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2: - Internet Explorer 7 (Windows Server 2008 Server Core installation not affected) - Internet Explorer 8 (Windows Server 2008 Server Core installation not affected) - Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2: - Internet Explorer 7 - Windows 7 for 32-bit Systems: - Internet Explorer 8 - Windows 7 for x64-based Systems: - Internet Explorer 8 - Windows Server 2008 R2 for x64-based Systems: - Internet Explorer 8 (Windows Server 2008 R2 Server Core installation not affected) - Windows Server 2008 R2 for Itanium-based Systems: - Internet Explorer 8 - Impact: Remote Code Execution - Version Number: 1.0 Microsoft Security Bulletin MS11-006 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Windows Vista Service Pack 1 and Windows Vista Service Pack 2 - Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2 - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected) - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation not affected) - Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 - Impact: Remote Code Execution - Version Number: 1.0 Microsoft Security Bulletin MS11-007 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Windows Vista Service Pack 1 and Windows Vista Service Pack 2 - Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2 - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 - Windows 7 for 32-bit Systems - Windows 7 for x64-based Systems - Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected) - Windows Server 2008 R2 for Itanium-based Systems - Impact: Remote Code Execution - Version Number: 1.0 Important Security Bulletins ============================ Microsoft Security Bulletin MS11-004 - Affected Software: - Windows Vista Service Pack 1 and Windows Vista Service Pack 2: - Microsoft FTP Service 7.0 for IIS 7.0 - Microsoft FTP Service 7.5 for IIS 7.0 - Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2: - Microsoft FTP Service 7.0 for IIS 7.0 - Microsoft FTP Service 7.5 for IIS 7.0 - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2: - Microsoft FTP Service 7.0 for IIS 7.0 (Windows Server 2008 Server Core installation affected) - Microsoft FTP Service 7.5 for IIS 7.0 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2: - Microsoft FTP Service 7.0 for IIS 7.0 (Windows Server 2008 Server Core installation affected) - Microsoft FTP Service 7.5 for IIS 7.0 (Windows Server 2008 Server Core installation affected) - Windows 7 for 32-bit Systems: - Microsoft FTP Service 7.5 for IIS 7.5 - Windows 7 for x64-based Systems: - Microsoft FTP Service 7.5 for IIS 7.5 - Windows Server 2008 R2 for x64-based Systems: - Microsoft FTP Service 7.5 for IIS 7.5 (Windows Server 2008 R2 Server Core installation affected) - Windows Server 2008 R2 for Itanium-based Systems: - Microsoft FTP Service 7.5 for IIS 7.5 - Impact: Remote Code Execution - Version Number: 1.0 Microsoft Security Bulletin MS11-005 - Affected Software: - Windows Server 2003 Service Pack 2: - Active Directory - Windows Server 2003 x64 Edition Service Pack 2: - Active Directory - Windows Server 2003 with SP2 for Itanium-based Systems: - Active Directory - Impact: Denial of Service - Version Number: 1.0 Microsoft Security Bulletin MS11-008 - Affected Software: - Microsoft Visio 2002 Service Pack 2 - Microsoft Visio 2003 Service Pack 3 - Microsoft Visio 2007 Service Pack 2 - Impact: Remote Code Execution - Version Number: 1.0 Microsoft Security Bulletin MS11-009 - Affected Software: - Windows 7 for 32-bit Systems: - JScript 5.8 - VBScript 5.8 - Windows 7 for x64-based Systems: - JScript 5.8 - VBScript 5.8 - Windows Server 2008 R2 for x64-based Systems: - JScript 5.8 (Windows Server 2008 R2 Server Core installation not affected) - VBScript 5.8 (Windows Server 2008 R2 Server Core installation not affected) - Windows Server 2008 R2 for Itanium-based Systems: - JScript 5.8 - VBScript 5.8 - Impact: Information Disclosure - Version Number: 1.0 Microsoft Security Bulletin MS11-010 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Impact: Elevation of Privilege - Version Number: 1.0 Microsoft Security Bulletin MS11-011 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Windows Vista Service Pack 1 and Windows Vista Service Pack 2 - Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2 - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 - Windows 7 for 32-bit Systems - Windows 7 for x64-based Systems - Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected) - Windows Server 2008 R2 for Itanium-based Systems - Impact: Elevation of Privilege - Version Number: 1.0 Microsoft Security Bulletin MS11-012 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Windows Vista Service Pack 1 and Windows Vista Service Pack 2 - Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2 - Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2 (Windows Server 2008 Server Core installation affected) - Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2 - Windows 7 for 32-bit Systems - Windows 7 for x64-based Systems - Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected) - Windows Server 2008 R2 for Itanium-based Systems - Impact: Elevation of Privilege - Version Number: 1.0 Microsoft Security Bulletin MS11-013 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Windows 7 for 32-bit Systems - Windows 7 for x64-based Systems - Windows Server 2008 R2 for x64-based Systems (Windows Server 2008 R2 Server Core installation affected) - Windows Server 2008 R2 for Itanium-based Systems - Impact: Elevation of Privilege - Version Number: 1.0 Microsoft Security Bulletin MS11-014 - Affected Software: - Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems - Impact: Elevation of Privilege - Version Number: 1.0 Other Information ================= Follow us on Twitter for the latest information and updates: http://twitter.com/msftsecresponse Microsoft Windows Malicious Software Removal Tool: ================================================== Microsoft will release an updated version of the Microsoft Windows Malicious Software Removal Tool on Windows Update, Microsoft Update, Windows Server Update Services, and the Download Center. Non-Security Updates on MU, WU, and WSUS: ======================================================== For information about non-security releases on Windows Update and Microsoft Update, please see: * http://support.microsoft.com/kb/894199: Microsoft Knowledge Base Article 894199, Description of Software Update Services and Windows Server Update Services changes in content. Includes all Windows content. * http://technet.microsoft.com/en-us/wsus/bb456965.aspx: Updates from Past Months for Windows Server Update Services. Displays all new, revised, and rereleased updates for Microsoft products other than Microsoft Windows. Microsoft Active Protections Program (MAPP) =========================================== To improve security protections for customers, Microsoft provides vulnerability information to major security software providers in advance of each monthly security update release. Security software providers can then use this vulnerability information to provide updated protections to customers via their security software or devices, such as antivirus, network-based intrusion detection systems, or host-based intrusion prevention systems. To determine whether active protections are available from security software providers, please visit the active protections Web sites provided by program partners, listed at http://www.microsoft.com/security/msrc/mapp/partners.mspx. Recognize and avoid fraudulent e-mail to Microsoft customers: ============================================================= If you receive an e-mail message that claims to be distributing a Microsoft security update, it is a hoax that may contain malware or pointers to malicious Web sites. Microsoft does not distribute security updates via e-mail. The Microsoft Security Response Center (MSRC) uses PGP to digitally sign all security notifications. However, PGP is not required for reading security notifications, reading security bulletins, or installing security updates. You can obtain the MSRC public PGP key at https://www.microsoft.com/technet/security/bulletin/pgp.mspx. To receive automatic notifications whenever Microsoft Security Bulletins are issued, subscribe to Microsoft Technical Security Notifications on http://www.microsoft.com/technet/security/bulletin/notify.mspx. ******************************************************************** THE INFORMATION PROVIDED IN THIS MICROSOFT COMMUNICATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY NOT APPLY. ******************************************************************** To cancel your subscription to this newsletter, reply to this message with the word UNSUBSCRIBE in the Subject line. To set your contact preferences for this and other Microsoft communications, see the communications preferences section of the Microsoft Privacy Statement at: . For the complete Microsoft Online Privacy Statement, see: . For legal Information, see: . This newsletter was sent by: Microsoft Corporation 1 Microsoft Way Redmond, Washington, USA 98052 -----BEGIN PGP SIGNATURE----- Version: PGP Desktop 9.9.0 (Build 397) Charset: utf-8 wsFVAwUBTVFqjXIYuwqTbJG0AQgyJRAArXwb2MTlfdyd3DUcy7hwDUEsaA8SZNeI wLD9wcEnSwPxRKTxf5XWyEI6KSln1grKEtFPpkKbIIdC6rm6J0qilymR26MH5iNB Rw/m2ThhTyF+Ah/lAAN2cz/YkPbcq+2q9cpBCLLT1Z1VDkTo8y1hA92+O7xB+Ve0 /X21yQhDF0w/XmxjkNgXC4GHDQh/adMXZfHLHY7GmMw+ioKVkTzjYzdlAXPqLXG4 hei7qomvT3OppJ1rXThfKT1nun4MTBxdMYUs1yuIaE1Yv8G5RhBRhipkMQ/LEX7C ZqPp/DRNMlTj/Gk8ma5d8baowYcpNWPg58/f68ZDU+hgjWaLMrLSkDoULVneoTXM CTAKAY0e5impgIJtmyi0aMYoODWnQGzXHdbAgno4KrWHh0RBicJkXVrAZRx0Wxpn VL7z2A1Md6W2ohEqyK3zq40E2LGqucIVKhGZWuaLIcUvxpgmP3R0WDwEvceMRYtS 2aL3D38nKNMFK7X8mi4b9uwv9PRyGxbPDaTCs0B7M/BImGirSDIpSAWeJe5X/zZy +UjV2bU0ySUEVogKsBBVjbuwSSKn6NNLE8/GVQmn+ZwvYz1Z/k+zyjBFy0kpLbzC Ya9iZUH7WXc/GNjoAcV07IxUiO6VSMO8Lqx1VQDI+pZv2n1eItdO/fLO3WxJt06Q nJ2Vox+SYOA= =h+qN -----END PGP SIGNATURE----- From security em unicamp.br Wed Feb 9 09:57:28 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 9 Feb 2011 09:57:28 -0200 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA11-039A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20110209115727.GB31484@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA11-039A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 8 Feb 2011 14:49:34 -0500 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA11-039A Microsoft Updates for Multiple Vulnerabilities Original release date: February 08, 2011 Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows * Microsoft Internet Explorer * Microsoft Office Overview There are multiple vulnerabilities in Microsoft Windows, Microsoft Office, and Internet Explorer. Microsoft has released updates to address these vulnerabilities. I. Description The Microsoft Security Bulletin Summary for February 2011 describes multiple vulnerabilities in Microsoft Windows, Microsoft Office, and Internet Explorer. Microsoft has released updates to address the vulnerabilities. II. Impact A remote, unauthenticated attacker could execute arbitrary code, cause a denial of service, or gain unauthorized access to your files or system. III. Solution Apply updates Microsoft has provided updates for these vulnerabilities in the Microsoft Security Bulletin Summary for February 2011. That bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. In addition, administrators should consider using an automated update distribution system such as Windows Server Update Services (WSUS). IV. References * Microsoft Security Bulletin Summary for February 2011 - * Microsoft Windows Server Update Services - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA11-039A Feedback VU#257205" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2011 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History February 08, 2011: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBTVGdbj6pPKYJORa3AQJugggAhJUAsHHqSW86koLabg56zhZFYa/UB2y0 GyaTBGFYFBwGbUcGkMUwZ8k9V+buNX7di0Cx8jIkx3utPIIE5EL0x4AzWsZw7o4p lOA6dZdQ5e/LKobdMUlJCZBRiQGlYnvOVaq9mfgK/VzwtK+bDLSC5ia4Oxc/l0oL ViisOQMCaP+af9P8jAwLfQvxjc+sJDB32vcIWaKMehyag1lS4qtM6NIfxj2INlYk KAeNUhqHHIeJPb1qmGjGHkE+JHZiTPI5Bp0xg41nrizbxK0uF2LAxekQVxTvQr5D NC+jdWLKCUc1Sm8zw2nidKmLRXlDs209etfKqbkCK61bnMv59oBYPw== =HWNB -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Feb 9 09:57:58 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 9 Feb 2011 09:57:58 -0200 Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Segurana Microsoft - Fevereiro/2011 Message-ID: <20110209115758.GC31484@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Fevereiro/2011 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 8 Feb 2011 18:37:52 -0200 (BRST) -----BEGIN PGP SIGNED MESSAGE----- Prezados, A Microsoft publicou 12 boletins de segurança em 08 de fevereiro que abordam ao todo 22 vulnerabilidades em produtos da empresa. A exploração destas vulnerabilidades permitem execução remota de código, elevação de privilégios de usuários locais conectados, negação de serviços (DoS) e divulgação não autorizada de informações. No momento da publicação deste resumo há exploração ativa das 3 vulnerabilidades do boletim: MS11-003 (CVE-2010-3971, CVE-2011-0035, CVE-2011-0036 e CVE-2011-0038), MS11-004 (CVE-2010-3972) e MS11-006 (CVE-2010-3970) SEVERIDADE . Crítica - MS11-003 - Vulnerabilidades no Internet Explorer que permitem execução remota de código. - MS11-006 - Vulnerabilidade no processamento gráfico do Windows shell que permite execução remota de código. - MS11-007 - Vulnerabilidade no driver OpenType Compact Font Format (CFF) que permite execução remota de código. . Importante - MS11-004 - Vulnerabilidade no serviço de FTP do Internet Information Services (IIS) que permite execução remota de código. - MS11-005 - Vulnerabilidade no Active Directory que permite que se cause negação de serviço (DoS). - MS11-008 - Vulnerabilidades no Microsoft Visio que permitem execução remota de código. - MS11-009 - Vulnerabilidade no scripting engine JScript e VBScript que permitem divulgação não autorizada de informações. - MS11-010 - Vulnerabilidade no subsistema Windows Client/Server Run-time que permite elevação de privilégios de usuários locais conectados. - MS11-011 - Vulnerabilidades no kernel do Windows que permitem elevação de privilégios de usuários locais conectados. - MS11-012 - Vulnerabilidades nos drivers Kernel-mode do Windows que permitem elevação de privilégios de usuários locais conectados. - MS11-013 - Vulnerabilidades no Kerberos que permitem elevação de privilégios de usuários locais conectados. - MS11-014 - Vulnerabilidade no serviço Local Security Authority Subsystem que permitem elevação de privilégios de usuários locais conectados. . Moderada - Nenhum boletim . Baixa - Nenhum boletim O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas. . Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário. . Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento. . Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração. . Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar os sistemas para as versões disponíveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx MAIS INFORMAÇÕES . Microsoft Security Bulletin Summary for February 2011 http://www.microsoft.com/technet/security/bulletin/ms11-feb.mspx . Microsoft TechCenter de Segurança http://technet.microsoft.com/pt-br/security/ . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ . Microsoft Security Research & Defense - MSRD http://blogs.technet.com/srd/ . Segurança Microsoft http://www.microsoft.com/brasil/security/ . SANS ISC Handler's Diary - Feburary 2011 Microsoft Black Tuesday Summary http://isc.sans.edu/diary.html?storyid=10375 . MS11-003 - Cumulative Security Update for Internet Explorer (2482017) http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx . MS11-004 - Vulnerability in Internet Information Services (IIS) FTP Service Could Allow Remote Code Execution (2489256) http://www.microsoft.com/technet/security/bulletin/ms11-004.mspx . MS11-005 - Vulnerability in Active Directory Could Allow Denial of Service (2478953) http://www.microsoft.com/technet/security/Bulletin/MS11-005.mspx . MS11-006 - Vulnerability in Windows Shell Graphics Processing Could Allow Remote Code Execution (2483185) http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx . MS11-007 - Vulnerability in the OpenType Compact Font Format (CFF) Driver Could Allow Remote Code Execution (2485376) http://www.microsoft.com/technet/security/Bulletin/MS11-007.mspx . MS11-008 - Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution (2451879) http://www.microsoft.com/technet/security/bulletin/ms11-008.mspx . MS11-009 - Vulnerability in JScript and VBScript Scripting Engines Could Allow Information Disclosure (2475792) http://www.microsoft.com/technet/security/Bulletin/MS11-009.mspx . MS11-010 - Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2476687) http://www.microsoft.com/technet/security/Bulletin/MS11-010.mspx . MS11-011 - Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2393802) http://www.microsoft.com/technet/security/bulletin/ms11-011.mspx . MS11-012 - Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2479628) http://www.microsoft.com/technet/security/bulletin/ms11-012.mspx . MS11-013 - Vulnerabilities in Kerberos Could Allow Elevation of Privilege (2496930) http://www.microsoft.com/technet/security/bulletin/ms11-013.mspx . MS11-014 - Vulnerability in Local Security Authority Subsystem Service Could Allow Local Elevation of Privilege (2478960) http://www.microsoft.com/technet/security/Bulletin/MS11-014.mspx Identificador CVE (http://cve.mitre.org): CVE-2010-3970, CVE-2010-3971, CVE-2010-3972, CVE-2010-4398, CVE-2011-0030, CVE-2011-0031, CVE-2011-0033. CVE-2011-0035, CVE-2011-0036, CVE-2011-0038, CVE-2011-0039, CVE-2011-0040, CVE-2011-0043, CVE-2011-0045, CVE-2011-0086, CVE-2011-0087, CVE-2011-0088, CVE-2011-0089, CVE-2011-0090, CVE-2011-0091, CVE-2011-0092, CVE-2011-0093 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTVGptekli63F4U8VAQE7zAQAhXzSWBavXGmLh7m5Vlt/HkYv6tqtBUAO 7rFOqNIbrQwybXo/d5a3fvp1bxA5a9y31n56V7gEFP6RxMO1OqbmFPTJV2IGzWtL 9ULmI052PgWJiv2o7QNqnYjJ7V8ghRbp60rLSIXcKn9F9QriuxK3ZpjFQm3RmWuz 0x3tkosTfaw= =Ucgu -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Thu Feb 17 09:28:25 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 17 Feb 2011 09:28:25 -0200 Subject: [SECURITY-L] CAIS-Resumo: Setembro a Dezembro de 2010 Message-ID: <20110217112824.GB10708@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Resumo: Setembro a Dezembro de 2010 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 16 Feb 2011 14:43:21 -0200 (BRST) -----BEGIN PGP SIGNED MESSAGE----- =========================================================================== CAIS Resumo Alertas, vulnerabilidades e incidentes de segurança Publicação quadrimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa Setembro a Dezembro de 2010 Disponível em: http://www.rnp.br/cais/alertas/2010/cais-res-2010-3.html =========================================================================== Neste CAIS Resumo são abordados os alertas, as vulnerabilidades e os demais acontecimentos que se destacaram na área de segurança no terceiro quadrimestre de 2010. 1. DESTAQUES 2. ALERTAS 3. CAIS NA MÍDIA 4. ESTATÍSTICAS 5. NOTAS ___________________________________________________________________________ 1. DESTAQUES . De setembro a dezembro de 2010, o CAIS tratou 93.152 incidentes de segurança identificados na rede da RNP, com parciais de 1.580 em setembro, 23.712 em outubro, 33.842 em novembro e 34.018 em dezembro. . A quantidade de incidentes tratados durante o terceiro quadrimestre de 2010 aumentou 1.427,33% em relação ao período de maio a agosto. A justificativa para esse aumento deve-se ao restabelecimento de parcerias de trocas de dados de incidentes e ao aumento da capacidade de envio de notificações do CAIS, em consequência da ativação de uma nova ferramenta para automação deste processo. . O número de incidentes de violação de direitos autorais voltaram a subir. Neste terceiro quadrimestre o CAIS notificou 1.347 casos, enquanto no segundo quadrimestre foram notificados apenas 591 incidentes. . Os incidentes de envio de spam no backbone acadêmico aumentaram em relação ao quadrimestre anterior, com parciais de 148 em setembro, 1.786 em outubro, 1.262 em novembro, e 1.040 em agosto, representando 4,54% do total de incidentes tratados neste período. . Os incidentes de tentativas de ataque a sistemas (tentativas de acesso à SSH, varreduras em portas abertas) também tiveram um aumento significativo no período de setembro a dezembro, aumentando em 395,8% em relação ao quadrimestre anterior (de 191 para 947 incidentes). . A utilização de páginas web falsas em ataques de fraude contra instituições financeiras e a difusão de malwares para a captura de informações bancárias diminuiu. Neste quadrimestre, o CAIS notificou 385 incidentes de phishing contra 601 notificações realizadas no quadrimestre anterior. . De setembro a dezembro foram cadastradas 388 novas fraudes no Catálogo de Fraudes RNP, totalizando 1.627 fraudes desde o lançamento do serviço, em Março de 2008. ___________________________________________________________________________ 2. ALERTAS Neste quadrimestre o CAIS divulgou 6 alertas de segurança através da lista CAIS-Alerta. Abaixo segue uma relação dos principais alertas do período. Resumo dos Boletins de Segurança Microsoft - Dezembro 2010 Microsoft Security Bulletin Summary for December 2010 [RNP, 15.12.2010] Resumo dos Boletins de Segurança Microsoft - Novembro 2010 Microsoft Security Bulletin Summary for November 2010 [RNP, 10.11.2010] Resumo dos Boletins de Segurança Microsoft - Outubro 2010 Microsoft Security Bulletin Summary for October 2010 [RNP, 20.10.2010] Horário de Verão 2010/2011 Alerta do CAIS 20101005 [RNP, 06.10.2010] Resumo dos Boletins de Segurança Microsoft - Setembro 2010 Microsoft Security Bulletin Summary for September 2010 [RNP, 17.09.2010] CAIS Resumo - Maio a Agosto de 2010 Alertas, vulnerabilidades e incidentes de segurança [RNP, 17.09.2010] ___________________________________________________________________________ 3. CAIS NA MÍDIA A seguir estão relacionadas as matérias e entrevistas que contaram com a participação da equipe do CAIS. RNP cria sistema de certificação digital para P&D Executivos Financeiros - 6.10.2010 http://www.executivosfinanceiros.com.br/noticias_mostra.asp?id=68067 ___________________________________________________________________________ 4. ESTATÍSTICAS Apresentamos uma análise comparativa das estatísticas de incidentes reportados ao CAIS no terceiro quadrimestre de 2010 em relação a dados do período correspondente em anos anteriores. - -------------------------------- Mês 2008 2009 2010 - -------------------------------- Set 4.111 28.638 1.580 Out 4.082 1.625 23.712 Nov 3.013 1.873 33.842 Dez 3.467 1.542 34.018 - -------------------------------- TOTAL 14.673 33.678 93.152 - -------------------------------- No terceiro quadrimestre de 2010 o CAIS tratou 93.152 incidentes de segurança. Foi observado um aumento de 176,59% no total de incidentes tratados de setembro a dezembro em comparação com o mesmo período de 2009 e 534,85% em relação ao mesmo período de 2008. - ------------------------------------------------------- Quadrimestre #incidentes Quadrimestre #incidentes anterior atual - ------------------------------------------------------- Mai/2010 1.651 Set/2010 1.580 Jun/2010 1.400 Out/2010 23.712 Jul/2010 1.273 Nov/2010 33.842 Ago/2010 1.775 Dez/2010 34.018 - ------------------------------------------------------- TOTAL 6.099 93.152 Média 1.524 23.288 - ------------------------------------------------------- A média de incidentes no terceiro quadrimestre de 2010 aumentou 21.764 em relação ao segundo quadrimestre. Foi observado um aumento no total de incidentes tratados pelo CAIS no período entre setembro a dezembro de 2010, se comparado ao quadrimestre anterior. No início do terceiro quadrimestre o CAIS restabeleceu as suas parcerias de trocas de dados de incidentes e ativou uma nova ferramenta para a automatização do envio de incidentes, o que resultou em um aumentou significativo nas notificações enviadas. - -------------------------- Média mensal de incidentes (nos últimos anos) - -------------------------- Ano #incidentes - -------------------------- 2010 8.753 2009 22.233 2008 2.995 2007 2.981 - -------------------------- A média mensal de incidentes tratados em 2010 é de 8.753 incidentes ao mês,valor 60,63% menor que a média mensal de 2009. ___________________________________________________________________________ 5. NOTAS O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo. Assim, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizados pelos fabricantes e órgãos de renome na área de segurança. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTVv+xukli63F4U8VAQHpLwP8C4DlYgM73T9mIAIjfdUnBVadxZjn5eyN of9JZvnaGS4Dz8PyTxZLTTgwZMtHWfiHDe0P+vJbJs4kZZbF7ul0nCUijd0NRpAC Cqs9DnJGKVVBVfV0dZ6K60a4W6x4FvQB3S74ULiUwYv+giNoXAABy1vP0dn34Iue 7AnPc01Rz4M= =SmNq -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Feb 18 15:15:07 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 18 Feb 2011 15:15:07 -0200 Subject: [SECURITY-L] CAIS-Alerta: Fim do Horario de Verao 2010/2011 Message-ID: <20110218171506.GB28705@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Fim do Horário de Verão 2010/2011 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 18 Feb 2011 15:08:29 -0200 (BRST) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS gostaria de informar que o Horário de Verão 2010/2011, iniciado à zero hora (00:00) de 17 de outubro de 2010, encerra-se à zero hora (00:00) de 20 de fevereiro de 2011. O decreto no. 6.558 de 8 de setembro de 2008 determinou datas fixas de início e encerramento do período de Horário de Verão. O início sempre será à zero hora do terceiro domingo de outubro e o encerramento sempre à zero hora do terceiro domingo de fevereiro do ano seguinte. Se o terceiro domingo de fevereiro for um domingo de Carnaval, então o encerramento é automaticamente transferido para zero hora do domingo seguinte. No domingo de 20 de fevereiro, será necessário atrasar os relógios em 1 hora nos estados da região Sul, Sudeste e Centro-Oeste que participam do Horário de Verão. São eles: . Rio Grande do Sul . Santa Catarina . Paraná . São Paulo . Rio de Janeiro . Espírito Santo . Minas Gerais . Goiás . Mato Grosso . Mato Grosso do Sul . Distrito Federal Lembramos a todos que, tratando-se de incidentes de segurança, a precisão dos relógios dos sistemas é fundamental para manter a consistência dos logs, além de ser imprescindível nas investigações e identificação de responsáveis. Lembramos ainda que os logs reportados após a vigência do Horário de Verão, retornarão ao timezone UTC-0300 (GMT-3). Mais informações: . Decreto no. 6.558 de 8 de setembro de 2008 - Institui a hora de verão em parte do território nacional http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/decreto/d6558.htm . ANEEL - Informacoes Técnicas - Horário de Verão http://www.aneel.gov.br/65.htm . Hora Legal Brasileira http://www.horalegalbrasil.mct.on.br ALTERAÇÕES DE CONFIGURAÇÃO NECESSÁRIAS PARA O HORÁRIO DE VERÃO 2010/2011 O horário de verão tem relação com o timezone (fuso horário) configurado no sistema. Ao alterar o timezone altera-se o parâmetro do sistema que determina a diferença em horas entre o horário absoluto (UTC / GMT 0) e o horário local. Se o relógio do sistema (horário absoluto) marca 16:00:00 UTC, ajustado por NTP, temos: . Para o timezone do Brasilia (UTC-3), o horário mostrado ao usuário será 13:00h ou UTC-3 (hora local) . Para o timezone de Paris (França - UTC+1) o horário mostrado ao usuário será 17:00h ou UTC+1 (hora local) . No período de vigência do horário de verão o timezone de Brasilia foi alterado para UTC-2, desta forma o horário mostrado ao usuário era 14:00:00 ou UTC-2 (hora local) Lembramos que o sincronismo de hora através de servidores NTP não sofre modificações devido ao início ou fim do horário de verão. Quaisquer mudanças de horário nos sistemas no período do horário de verão se devem às configurações do fuso horário local no sistema. O horário de referência oferecido pelos servidores NTP não sofre alterações. O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel: http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTV6nvukli63F4U8VAQGquwP/VQXjB/6T65lxrKqx62R3dKGzSHTxPDO+ bpFUN+RjtffbBXxxtolkWD1kVrH4shCtyTAMjyICbQgeVD3ns9QJtlQodlwLSZUt NoSQ1Orqkaxrl/Kd/nEoDT2x+X6o5At8+gFrCstbB6s0g2rSryAT5MwzfHyQ4PGB dANfoRDLHS4= =mVLp -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Feb 23 12:09:09 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 23 Feb 2011 12:09:09 -0300 Subject: [SECURITY-L] CAIS Alerta: BIND 9 Security Advisory: Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate Message-ID: <20110223150908.GA73061@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS Alerta: BIND 9 Security Advisory: Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Wed, 23 Feb 2011 10:53:26 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta divulgado pela Internet Systems Consortium Security (ISC) intitulado "Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate", relacionado a uma vulnerabilidade presente no servidor de DNS Bind 9. A vulnerabilidade afeta as versões 9.7.1 a 9.7.2-P3 do Bind. A mesma pode ser explorada quando um servidor autoritativo processa uma transferência IXFR bem sucedida ou uma atualização dinâmica. Neste processamento há uma pequena janela de tempo durante a qual a execução de uma transferência IXFR ou atualização juntamente com uma consulta pode causar um deadlock . Este deadlock fará com que o servidor pare de processar todas requisições. No momento da publicação deste alerta não se tem conhecimento de exploits para esta vulnerabilidade CORREÇÕES DISPONÍVEIS Recomenda-se atualizar a versão do Bind para versão 9.7.3 ou superior. Segundo a ISC, as versões 9.6.x, 9.6-ESV-Rx, or 9.4-ESV-R4 não são vulneráveis . Download BIND 9.7.3 http://www.isc.org/software/bind/973/download/bind-973targz MAIS INFORMAÇÕES . Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate http://www.isc.org/software/bind/advisories/cve-2011-0414 . BIND 9 http://www.isc.org/software/bind Identificador CVE (http://cve.mitre.org): CVE-2011-0414 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTWURcOkli63F4U8VAQGQmQP/RYgAsMHwUbsZAmHHst7LMzzz5dhYkTmA zm2L8I/YaaVlnErBBeG3c5ikAylXkmgs2a1Gs9XMfEk+CQ9LH8BKU4Xl7BK+IGgo 1VuYf0NOD8/BTMaG5EVOWWffECsvz3/vYSKTWCRSyKtVvljb90XbV3MvOs5j5T35 VyFTb8SzoH0= =bmz8 -----END PGP SIGNATURE----- ----- End forwarded message -----