From security em unicamp.br Mon May 9 10:46:19 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 9 May 2011 10:46:19 -0300 Subject: [SECURITY-L] [cais@cais.rnp.br: CAIS-Alerta:Vulnerabilidade no BIND 9] Message-ID: <20110509134619.GA30520@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta:Vulnerabilidade no BIND 9 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 6 May 2011 16:58:35 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta do ISC (Internet Systems Consortium), intitulado "RRSIG Queries Can Trigger Server Crash When Using Response Policy Zones" que trata de uma vulnerabilidade no servidor DNS BIND. Esta vulnerabilidade somente afeta usuários que estão utilizando o recurso "Response Policy Zone" (RPZ), que permite a um atacante causar uma falha no servidor quando é realizada uma consulta do tipo RRSIG para substituição de RRset. RPZ é um mecanismo para modificar respostas DNS de um servidor recursivo de acordo com um conjunto de regras definidas localmente ou importadas de um servidor de reputação. Um dos usos do RPZ é na substituição de RRset, retornando uma resposta positiva para uma consulta DNS. Até o momento, nenhum exploit para explorar esta vulnerabilidade é conhecido. Entretanto, o CAIS recomenda que sejam implementadas as soluções descritas na seção "CORREÇÕES DISPONÍVEIS". SISTEMAS AFETADOS São afetadas por esta vulnerabilidade a versões 9.8.0 do BIND. As outras versões são imunes a esta vulnerabilidade. CORREÇÕES DISPONÍVEIS: Recomenda-se usar RPZ apenas para forçar respostas NXDOMAIN e não utilizar para substituição de RRset. Recomenda-se também a atualização do servidor BIND 9.8.0 para as versões 9.8.0-P1 ou acima. MAIS INFORMAÇÕES . Identificador CVE (http://cve.mitre.org): https://www.isc.org/CVE-2011-1907 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTcRTA+kli63F4U8VAQEEEQQAuxT5LKgI8xpn80SbnFbAZzfqyv1lqlBj +0dlr5hPgGxYa63BYD/zjdFe+P27BEI2e8I+DOhxlbk28z0zayvtRx8SJrJhTAUA PFBQFaVT5OnVJmcOECNoaoX0YmR1eHU/2hZBDgw9qJDBI+47fJho6lZOAqhDE7yF gtj6gRPjwzQ= =hzbv -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Tue May 10 16:52:16 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Tue, 10 May 2011 16:52:16 -0300 Subject: [SECURITY-L] US-CERT Technical Cyber Security Alert TA11-130A -- Microsoft Updates for Multiple Vulnerabilities Message-ID: <20110510195216.GA38883@unicamp.br> ----- Forwarded message from US-CERT Technical Alerts ----- From: US-CERT Technical Alerts Subject: US-CERT Technical Cyber Security Alert TA11-130A -- Microsoft Updates for Multiple Vulnerabilities To: technical-alerts em us-cert.gov Date: Tue, 10 May 2011 13:40:55 -0400 Organization: US-CERT - +1 202-205-5266 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 National Cyber Alert System Technical Cyber Security Alert TA11-130A Microsoft Updates for Multiple Vulnerabilities Original release date: May 10, 2011 Last revised: -- Source: US-CERT Systems Affected * Microsoft Windows * Microsoft Office Overview There are multiple vulnerabilities in Microsoft Windows and Office. Microsoft has released updates to address these vulnerabilities. I. Description The Microsoft Security Bulletin Summary for May 2011 describes multiple vulnerabilities in Microsoft Windows and Office. Microsoft has released updates to address the vulnerabilities. II. Impact A remote, unauthenticated attacker could execute arbitrary code, cause a denial of service, or gain unauthorized access to your files or system. III. Solution Apply updates Microsoft has provided updates for these vulnerabilities in the Microsoft Security Bulletin Summary for May 2011. That bulletin describes any known issues related to the updates. Administrators are encouraged to note these issues and test for any potentially adverse effects. In addition, administrators should consider using an automated update distribution system such as Windows Server Update Services (WSUS). IV. References * Microsoft Security Bulletin Summary for May 2011 - * Microsoft Windows Server Update Services - ____________________________________________________________________ The most recent version of this document can be found at: ____________________________________________________________________ Feedback can be directed to US-CERT Technical Staff. Please send email to with "TA11-130A Feedback VU#948726" in the subject. ____________________________________________________________________ For instructions on subscribing to or unsubscribing from this mailing list, visit . ____________________________________________________________________ Produced 2011 by US-CERT, a government organization. Terms of use: ____________________________________________________________________ Revision History May 10, 2011: Initial release -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iQEVAwUBTcl3tj6pPKYJORa3AQLVUgf+MMYAgAayes1qBb7upzfo9tmWuj1ivJnO St+1Tl7j/+2Pcd/+7JZqR/DfzN4vOTeiXNG0cQFc9aHih8ZVEO3zwTxskacQoXV6 x90SQ6o8X9zYpUS1HaHcLLkx5Lh7VIOKmkQsTS6g+uCPbopO65h6drDtGaDGbs3n gIJiFWSnrr9SR/nGreciZcPriq7yX5VdMQ+iBaGSfJlIuNbW08W5bmM0d6pSBuEv ft5ppVMn//d8+DhWMhu5pMFtSEqjNSm+duABFk6Gt+aLD51Obgn13GGjF0UC5UKM y2e588CbMCBjv4PbfJ01801P1X8rqPyjZ493W0AUqf5ACrQ0SqUSlw== =scfa -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Tue May 10 16:52:43 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Tue, 10 May 2011 16:52:43 -0300 Subject: [SECURITY-L] CAIS-Alerta: Resumo dos Boletins de Segurana Microsoft - Maio/2011 Message-ID: <20110510195243.GB38883@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Maio/2011 To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Tue, 10 May 2011 16:40:40 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, A Microsoft publicou 2 boletins de segurança em 10 de maio que abordam ao todo 3 vulnerabilidades em produtos da empresa. A exploração destas vulnerabilidades permitem execução remota de código. No momento da publicação deste resumo não há exploração ativa de nenhuma das vulnerabilidades do boletim. SEVERIDADE . Crítica - MS11-035 - Vulnerabilidade no WINS que permite execução remota de código. . Importante - MS11-036 - Vulnerabilidades no Microsoft Powerpoint que permitem execução remota de código. . Moderada - Nenhum boletim . Baixa - Nenhum boletim O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas. . Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário. . Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento. . Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração. . Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar os sistemas para as versões disponíveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Windows Server Update Services http://www.microsoft.com/windowsserversystem/updateservices/default.mspx MAIS INFORMAÇÕES . Microsoft Security Bulletin Summary for May 2011 http://www.microsoft.com/technet/security/bulletin/ms11-may.mspx . Microsoft TechCenter de Segurança http://technet.microsoft.com/pt-br/security/ . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ . Microsoft Security Research & Defense - MSRD http://blogs.technet.com/srd/ . Segurança Microsoft http://www.microsoft.com/brasil/security/ . SANS ISC Handler's Diary - May 2011 Microsoft Black Tuesday Overview http://isc.sans.edu/diary/May+2011+Microsoft+Black+Tuesday+Overview/10855 . Microsoft Security Bulletin MS11-018 - Cumulative Security Update for Internet Explorer (2497640) http://www.microsoft.com/technet/security/Bulletin/MS11-018.mspx . Microsoft Security Bulletin MS11-035 - Vulnerability in WINS Could Allow Remote Code Execution (2524426) http://www.microsoft.com/technet/security/bulletin/MS11-035.mspx . Microsoft Security Bulletin MS11-036 - Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (2545814) http://www.microsoft.com/technet/security/bulletin/MS11-036.mspx Identificador CVE (http://cve.mitre.org): CVE-2011-1248, CVE-2011-1269, CVE-2011-1270 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTcmUu+kli63F4U8VAQGNoAP6A2+OKplDZOu+lP6YPnDTAAxy4etARJII m+Y3VDXXPOLzG68R5VzCmfxqTF4br8x195CodqsPA8kFbRs52WnBEmiaFXeCNht0 EDBIHygbBDcJ7DIDfwNayKYwtuWS+1hRlnoWcerZGJ0cWqFLoA0DbDwlGTm9WMC1 23EgJKRZ1EY= =zTbG -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Mon May 30 14:37:22 2011 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 30 May 2011 14:37:22 -0300 Subject: [SECURITY-L] [cais@cais.rnp.br: CAIS-Alerta: Consultas RRSIG e RRSETs extensas e cache negativo podem paralisar o servio named] Message-ID: <20110530173722.GA28611@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- From: Centro de Atendimento a Incidentes de Seguranca Subject: CAIS-Alerta: Consultas RRSIG e RRSETs extensas e cache negativo podem paralisar o serviço named To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Date: Fri, 27 May 2011 17:13:46 -0300 (BRT) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS está repassando o alerta do ISC (Internet Systems Consortium), intitulado "Large RRSIG RRsets and Negative Caching can crash named" que trata de uma vulnerabilidade no servidor DNS BIND. Esta vulnerabilidade afeta servidores de DNS que utilizam BIND 9 e são configurados como "caching resolver". O armazenamento de uma resposta negativa de uma consulta a um domínio executada com um RRSet muito extenso, paralisa o serviço named (BIND 9) devido à um erro de verificação no tamanho de buffer. Esta vulnerabilidade pode ser explorada remotamente, o que pode ser feito, por exemplo, por meio de malwares que façam com que os clientes consultem domínios cujos servidores estejam configurados para enviar respostas construídas especialmente para essa finalidade. Uma medida paleativa é restringir o acesso ao servidor de DNS de cache. Entretanto, o CAIS recomenda que sejam implementadas as soluções descritas na seção "CORREÇÕES DISPONÍVEIS". SISTEMAS AFETADOS São afetadas por esta vulnerabilidade as seguintes versões do BIND 9: . 9.4-ESV-R3 e anteriores . 9.6-ESV-R2 e anteriores . 9.6.3 e anteriores . 9.7.1 e anteriores . 9.8.0 e anteriores CORREÇÕES DISPONÍVEIS: Recomenda-se a atualização do servidor BIND 9 para as versões 9.4-ESV-AR4-P1, 9.6-ESV-R4-P1, 9.7.3-P1, 9.8.0-P2 ou superiores. MAIS INFORMAÇÕES . Large RRSIG RRsets and Negative Caching can crash named http://www.isc.org/software/bind/advisories/cve-2011-1910 Identificador CVE (http://cve.mitre.org): CVE-2011-1910 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @cais_rnp. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBTeAGJOkli63F4U8VAQHNCAP/Z9tMYI6PmRdxbjDjTtecbDRScvAoJf7l 8jndzgJ+b6X7Tje4NEBpk4SrgxapNKjw3eWwCkLZfaA8nNWuXIizPTQQFXUhYPUL IyF07T3/LhK4vywY8CZWdSz3t6RxtPMzkW4ONTinJprticvV99co2FuVij5UOEl+ RbWEUYxrSDY= =QdXZ -----END PGP SIGNATURE----- ----- End forwarded message -----