From security em unicamp.br Mon Oct 6 09:47:59 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 6 Oct 2014 09:47:59 -0300 Subject: [SECURITY-L] CSIRT Unicamp: atualizacao do site Message-ID: <20141006124759.GA18150@unicamp.br> Prezados, O site do CSIRT Unicamp foi atualizado com as publicações: Dicas para manter seu ambiente Web seguro https://www.security.unicamp.br/artigos/31-dicas-para-manter-seu-ambiente-web-seguro.html Analisando a Segurança no dia a dia https://www.security.unicamp.br/artigos/32-analisando-seguranca-no-dia-a-dia.html Atenciosamente, Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC E-mail: security em unicamp.br GnuPG Public Key: http://www.security.unicamp.br/security.asc Contact: +55 19 3521-2289 or +55 19 3521-2290 INOC-DBA-BR: 1251*830 From security em unicamp.br Fri Oct 10 12:20:40 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 10 Oct 2014 12:20:40 -0300 Subject: [SECURITY-L] CSIRT Unicamp: atualizacao do site - 10/10/2014 Message-ID: <20141010152040.GA24981@unicamp.br> Prezados, O site do CSIRT Unicamp foi atualizado com as publicações: Privacidade na Navegação Web https://www.security.unicamp.br/artigos/37-privacidade-na-navegacao-web.html Fraudes recentes Agora a seção "Fique atento!" apresentará as principais mensagens falsas (phishing) enviadas à Unicamp. https://www.security.unicamp.br/fraudes-recentes.html Atenciosamente, Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC E-mail: security em unicamp.br GnuPG Public Key: http://www.security.unicamp.br/security.asc Contact: +55 19 3521-2289 or +55 19 3521-2290 INOC-DBA-BR: 1251*830 From security em unicamp.br Mon Oct 13 16:13:16 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 13 Oct 2014 16:13:16 -0300 Subject: [SECURITY-L] =?iso-8859-1?q?=5Bcais=40cais=2Ernp=2Ebr=3A_=5BCAIS_?= =?iso-8859-1?q?Alerta=5D_in=EDcio_do_hor=E1rio_de_ver=E3o=5D?= Message-ID: <20141013191316.GB10237@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- Date: Mon, 13 Oct 2014 15:03:35 -0300 (BRT) From: Centro de Atendimento a Incidentes de Seguranca To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br cc: Centro de Atendimento a Incidentes de Seguranca Subject: [CAIS Alerta] início do horário de verão -----BEGIN PGP SIGNED MESSAGE----- O CAIS informa que o Horário de Verão 2014/2015 terá início à zero hora (00:00) de 19 de outubro de 2014 e término à zero hora (00:00) de 22 de fevereiro de 2015. O decreto no. 6.558 de 8 de setembro de 2008 determinou datas fixas de início e encerramento do período de Horário de Verão. O início sempre será à zero hora do terceiro domingo de outubro e o encerramento sempre à zero hora do terceiro domingo de fevereiro do ano seguinte. Se o terceiro domingo de fevereiro for um domingo de Carnaval, então o encerramento é automaticamente transferido para zero hora do domingo seguinte. No domingo de 19 de outubro, será necessário adiantar os relógios em 1 hora nos estados das regiões Sul, Sudeste e Centro-Oeste que participam do Horário de Verão. São eles: Rio Grande do Sul Santa Catarina Paraná São Paulo Rio de Janeiro Espírito Santo Minas Gerais Goiás Mato Grosso Mato Grosso do Sul Distrito Federal Deve-se atentar que ao considerar um incidente de segurança, a precisão dos relógios dos sistemas é fundamental para manter a consistência dos logs, além de ser imprescindível nas investigações e identificação de responsáveis. Lembre-se ainda que os logs reportados após a vigência do Horário de Verão, retornarão ao timezone UTC-0300 (GMT-3). Mais informações: - - Decreto no. 6.558 de 8 de setembro de 2008 - Institui a hora de verão em parte do território nacional http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/decreto/d6558.htm - - ANEEL - Informacoes Técnicas - Horário de Verão http://www.aneel.gov.br/area.cfm?id_area=65 - - Hora Legal Brasileira http://www.horalegalbrasil.mct.on.br ALTERAÇÕES DE CONFIGURAÇÃO NECESSÁRIAS PARA O HORÁRIO DE VERÃO 2014/2015 O horário de verão tem relação com o timezone (fuso horário) configurado no sistema. Ao alterar o timezone altera-se o parâmetro do sistema que determina a diferença em horas entre o horário absoluto (UTC / GMT 0) e o horário local. Se o relógio do sistema (horário absoluto) marca 16:00:00 UTC, ajustado por NTP: - - Para o timezone de Brasilia (UTC-3), o horário mostrado ao usuário será 13:00h ou UTC-3 (hora local) - - Para o timezone de Paris (França - UTC+1) o horário mostrado ao usuário será 17:00h ou UTC+1 (hora local) - - No período de vigência do horário de verão o timezone de Brasilia foi alterado para UTC-2, desta forma o horário mostrado ao usuário era 14:00:00 ou UTC-2 (hora local). O sincronismo de hora através de servidores NTP não sofre modificações devido ao início ou fim do horário de verão. Quaisquer mudanças de horário nos sistemas no período do horário de verão se devem às configurações do fuso horário local no sistema. O horário de referência oferecido pelos servidores NTP não sofre alterações. O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter: http://www.rnp.br/cais/alertas/rss.xml Siga @caisRNP Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBVDwT+ukli63F4U8VAQGoOQQAkYDB2k6cJsJM8XgwRwmHMLttaux/Od/7 g73Eed2W9xcXNPsYXJ8hLaPnD+lNgy6EoeFJD3OOTm85TOnMC4cTLuRTCZiWUhjI 8lyscjPmNv32OGevtwfFC3MIf0iy8wrWNry1t9b9CC560oNLa41esyYeLyq6n/KJ tSm8cIoz3Wc= =qdxm -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Oct 17 08:00:48 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 17 Oct 2014 08:00:48 -0300 Subject: [SECURITY-L] =?iso-8859-1?q?=5BCAIS-Alerta=5D_Resumo_dos_Boletins?= =?iso-8859-1?q?_de_Seguran=E7a_Microsoft_-_outubro/2014?= Message-ID: <20141017110048.GB4760@unicamp.br> ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- Date: Thu, 16 Oct 2014 13:45:31 -0300 (BRT) From: Centro de Atendimento a Incidentes de Seguranca To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br cc: Centro de Atendimento a Incidentes de Seguranca Subject: [CAIS-Alerta] Resumo dos Boletins de Segurança Microsoft - outubro/2014 -----BEGIN PGP SIGNED MESSAGE----- Prezados, A Microsoft publicou 8 boletins de segurança em 14 de outubro de 2014 que abordam ao todo 24 vulnerabilidades em produtos da empresa. A exploração destas vulnerabilidades permitem execução remota de código, elevação de privilégio e desvio de recurso de segurança. Até o momento da publicação deste alerta não foram divulgados códigos de exploração para as vulnerabilidades listadas. SEVERIDADE . Crítica - - MS14-056 - Atualização de segurança cumulativa para o Internet Explorer - - MS14-057 - Vulnerabilidades no .NET Framework podem permitir a execução remota de código - - MS14-058 - Vulnerabilidade no driver do modo kernel podem permitir a execução remota de código . Importante - - MS14-059 - Vulnerabilidade no ASP.NET MVC pode permitir o desvio de recurso de segurança - - MS14-060 - Vulnerabilidade no Windows OLE pode permitir a execução remota de código - - MS14-061 - A vulnerabilidade no Microsoft Word e Office Web Apps podem permitir a execução remota de código - - MS14-062 - Vulnerabilidade no serviço de Enfileiramento de Mensagens pode permitir a elevação de privilégio - - MS14-063 - Vulnerabilidade no driver da partição do disco FAT32 pode permitir a elevação de privilégio . Moderada - - Nenhum boletim . Baixa - - Nenhum boletim O sistema de classificação de severidade das vulnerabilidades adotado pelo CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se aplique, minimamente, as correções para vulnerabilidades classificadas como crítica e importante. No caso de correções para vulnerabilidades classificadas como moderadas o CAIS recomenda que ao menos as recomendações de mitigação sejam seguidas. . Crítica - Vulnerabilidades cuja exploração possa permitir a propagação de um worm sem a necessidade de interação com o usuário. . Importante - Vulnerabilidades cuja exploração possa resultar no comprometimento de confidencialidade, integridade ou disponibilidade de dados de usuários ou a integridade ou disponibilidade de recursos de processamento. . Moderada - exploração é mitigada significativamente por fatores como configuração padrão, auditoria ou dificuldade de exploração. . Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou cujo impacto seja mínimo. CORREÇÕES DISPONÍVEIS Recomenda-se atualizar os sistemas para as versões disponíveis em: . Microsoft Update https://www.update.microsoft.com/microsoftupdate/ . Microsoft Download Center http://www.microsoft.com/en-us/download/default.aspx MAIS INFORMAÇÕES . Resumo do Boletim de Segurança da Microsoft de outubro de 2014 https://technet.microsoft.com/pt-BR/library/security/ms14-oct.aspx . Microsoft TechCenter de Segurança http://technet.microsoft.com/pt-br/security/ . Microsoft Security Response Center - MSRC http://www.microsoft.com/security/msrc/ . Microsoft Security Research & Defense - MSRD http://blogs.technet.com/srd/ . Central de Proteção e Segurança Microsoft http://www.microsoft.com/brasil/security/ Identificador CVE (http://cve.mitre.org ): CVE-2014-4123, CVE-2014-4124, CVE-2014-4126, CVE-2014-4127, CVE-2014-4128, CVE-2014-4129, CVE-2014-4130, CVE-2014-4132, CVE-2014-4133, CVE-2014-4134, CVE-2014-4137, CVE-2014-4138, CVE-2014-4140, CVE-2014-4141, CVE-2014-4073, CVE-2014-4121, CVE-2014-4122, CVE-2014-4113, CVE-2014-4148, CVE-2014-4075, CVE-2014-4114, CVE-2014-4117, CVE-2014-4971, CVE-2014-4115 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBVD/2S+kli63F4U8VAQEkEQP+MhnQ0cZMZedszfiGc90PHkFNrb+tzx6A i9wfxdBT3g7eJ+d8XFXc5KSW8tCee1JjBoBzv+fvl22t+kYj11cf6FSt6OEj6cBL rHdctoHwIx2j3a+wMaLW+DDK1wvAQtokqW1S8AVk3t9eWxuSAvGOsb2pr9JReb6z NiVifUgcePU= =fjP0 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Fri Oct 17 14:58:19 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 17 Oct 2014 14:58:19 -0300 Subject: [SECURITY-L] CSIRT Unicamp: atualizacao do site - 17/10/2014 Message-ID: <20141017175819.GA18428@unicamp.br> Prezados, O site do CSIRT Unicamp foi atualizado com as publicações: Política de uso de senhas (parte 1) https://www.security.unicamp.br/artigos/44-politica-de-uso-de-senhas-parte-1.html Atenciosamente, Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC E-mail: security em unicamp.br GnuPG Public Key: http://www.security.unicamp.br/security.asc Contact: +55 19 3521-2289 or +55 19 3521-2290 INOC-DBA-BR: 1251*830 From security em unicamp.br Fri Oct 17 16:33:00 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Fri, 17 Oct 2014 16:33:00 -0300 Subject: [SECURITY-L] [TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack] Message-ID: <20141017193300.GA19207@unicamp.br> -------- Forwarded Message -------- Subject: TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack Date: Fri, 17 Oct 2014 13:08:28 -0500 From: US-CERT Reply-To: US-CERT em ncas.us-cert.gov TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack NCCIC / US-CERT National Cyber Awareness System: TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack 10/17/2014 12:27 PM EDT Original release date: October 17, 2014 Systems Affected All systems and applications utilizing the Secure Socket Layer (SSL) 3.0 with cipher-block chaining (CBC) mode ciphers may be vulnerable. However, the POODLE (Padding Oracle On Downgraded Legacy Encryption) attack demonstrates this vulnerability using web browsers and web servers, which is one of the most likely exploitation scenarios. Overview US-CERT is aware of a design vulnerability found in the way SSL 3.0 handles block cipher mode padding. The POODLE attack demonstrates how an attacker can exploit this vulnerability to decrypt and extract information from inside an encrypted transaction. Description The SSL 3.0 vulnerability stems from the way blocks of data are encrypted under a specific type of encryption algorithm within the SSL protocol. The POODLE attack takes advantage of the protocol version negotiation feature built into SSL/TLS to force the use of SSL 3.0 and then leverages this new vulnerability to decrypt select content within the SSL session. The decryption is done byte by byte and will generate a large number of connections between the client and server. While SSL 3.0 is an old encryption standard and has generally been replaced by Transport Layer Security (TLS) (which is not vulnerable in this way), most SSL/TLS implementations remain backwards compatible with SSL 3.0 to interoperate with legacy systems in the interest of a smooth user experience. Even if a client and server both support a version of TLS the SSL/TLS protocol suite allows for protocol version negotiation (being referred to as the ?downgrade dance? in other reporting). The POODLE attack leverages the fact that when a secure connection attempt fails, servers will fall back to older protocols such as SSL 3.0. An attacker who can trigger a connection failure can then force the use of SSL 3.0 and attempt the new attack. [1 ] Two other conditions must be met to successfully execute the POODLE attack: 1) the attacker must be able to control portions of the client side of the SSL connection (varying the length of the input) and 2) the attacker must have visibility of the resulting ciphertext. The most common way to achieve these conditions would be to act as Man-in-the-Middle (MITM), requiring a whole separate form of attack to establish that level of access. These conditions make successful exploitation somewhat difficult. Environments that are already at above-average risk for MITM attacks (such as public WiFi) remove some of those challenges. Impact The POODLE attack can be used against any system or application that supports SSL 3.0 with CBC mode ciphers. This affects most current browsers and websites, but also includes any software that either references a vulnerable SSL/TLS library (e.g. OpenSSL) or implements the SSL/TLS protocol suite itself. By exploiting this vulnerability in a likely web-based scenario, an attacker can gain access to sensitive data passed within the encrypted web session, such as passwords, cookies and other authentication tokens that can then be used to gain more complete access to a website (impersonating that user, accessing database content, etc.). Solution There is currently no fix for the vulnerability SSL 3.0 itself, as the issue is fundamental to the protocol; however, disabling SSL 3.0 support in system/application configurations is the most viable solution currently available. Some of the same researchers that discovered the vulnerability also developed a fix for one of the prerequisite conditions; TLS_FALLBACK_SCSV is a protocol extension that prevents MITM attackers from being able to force a protocol downgrade. OpenSSL has added support for TLS_FALLBACK_SCSV to their latest versions and recommend the following upgrades: [2 ] * OpenSSL 1.0.1 users should upgrade to 1.0.1j. * OpenSSL 1.0.0 users should upgrade to 1.0.0o. * OpenSSL 0.9.8 users should upgrade to 0.9.8zc. Both clients and servers need to support TLS_FALLBACK_SCSV to prevent downgrade attacks. Other SSL 3.0 implementations are most likely also affected by POODLE. Contact your vendor for details. Additional vendor information may be available in the National Vulnerability Database (NVD) entry for CVE-2014-3566. [3 ] References * [1] This Poodle Bites: Exploiting The SSL Fallback * [2] OpenSSL Security Advisory [15 Oct 2014] * [3] Vulnerability Summary for CVE-2014-3566 Revision History * October 17, 2014 Initial Release ------------------------------------------------------------------------ This product is provided subject to this Notification and this Privacy & Use policy. ------------------------------------------------------------------------ ----- End forwarded message ----- From security em unicamp.br Wed Oct 29 11:07:55 2014 From: security em unicamp.br (CSIRT - UNICAMP) Date: Wed, 29 Oct 2014 11:07:55 -0200 Subject: [SECURITY-L] CSIRT Unicamp: atualizacao do site - 29/10/2014 Message-ID: <20141029130755.GA18830@unicamp.br> Prezados, O site do CSIRT Unicamp foi atualizado com as publicações: SELinux: Um importante aliado na Segurança de Servidores Linux (parte 1) https://www.security.unicamp.br/artigos/54-selinux-um-importante-aliado-na-seguranca-de-servidores-linux-parte-1.html Atenciosamente, Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC E-mail: security em unicamp.br GnuPG Public Key: http://www.security.unicamp.br/security.asc Contact: +55 19 3521-2289 or +55 19 3521-2290 INOC-DBA-BR: 1251*830