From security em unicamp.br Mon Jan 12 09:53:55 2015 From: security em unicamp.br (CSIRT - UNICAMP) Date: Mon, 12 Jan 2015 09:53:55 -0200 Subject: [SECURITY-L] [DSA 3125-1] openssl security update Message-ID: <20150112115355.GA9808@unicamp.br> ----- Forwarded message from Salvatore Bonaccorso ----- Date: Sun, 11 Jan 2015 11:05:13 +0000 From: Salvatore Bonaccorso To: debian-security-announce em lists.debian.org Subject: [SECURITY] [DSA 3125-1] openssl security update -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - ------------------------------------------------------------------------- Debian Security Advisory DSA-3125-1 security em debian.org http://www.debian.org/security/ Salvatore Bonaccorso January 11, 2015 http://www.debian.org/security/faq - ------------------------------------------------------------------------- Package : openssl CVE ID : CVE-2014-3569 CVE-2014-3570 CVE-2014-3571 CVE-2014-3572 CVE-2014-8275 CVE-2015-0204 CVE-2015-0205 CVE-2015-0206 Multiple vulnerabilities have been discovered in OpenSSL, a Secure Sockets Layer toolkit. The Common Vulnerabilities and Exposures project identifies the following issues: CVE-2014-3569 Frank Schmirler reported that the ssl23_get_client_hello function in OpenSSL does not properly handle attempts to use unsupported protocols. When OpenSSL is built with the no-ssl3 option and a SSL v3 ClientHello is received, the ssl method would be set to NULL which could later result in a NULL pointer dereference and daemon crash. CVE-2014-3570 Pieter Wuille of Blockstream reported that the bignum squaring (BN_sqr) may produce incorrect results on some platforms, which might make it easier for remote attackers to defeat cryptographic protection mechanisms. CVE-2014-3571 Markus Stenberg of Cisco Systems, Inc. reported that a carefully crafted DTLS message can cause a segmentation fault in OpenSSL due to a NULL pointer dereference. A remote attacker could use this flaw to mount a denial of service attack. CVE-2014-3572 Karthikeyan Bhargavan of the PROSECCO team at INRIA reported that an OpenSSL client would accept a handshake using an ephemeral ECDH ciphersuite if the server key exchange message is omitted. This allows remote SSL servers to conduct ECDHE-to-ECDH downgrade attacks and trigger a loss of forward secrecy. CVE-2014-8275 Antti Karjalainen and Tuomo Untinen of the Codenomicon CROSS project and Konrad Kraszewski of Google reported various certificate fingerprint issues, which allow remote attackers to defeat a fingerprint-based certificate-blacklist protection mechanism. CVE-2015-0204 Karthikeyan Bhargavan of the PROSECCO team at INRIA reported that an OpenSSL client will accept the use of an ephemeral RSA key in a non-export RSA key exchange ciphersuite, violating the TLS standard. This allows remote SSL servers to downgrade the security of the session. CVE-2015-0205 Karthikeyan Bhargavan of the PROSECCO team at INRIA reported that an OpenSSL server will accept a DH certificate for client authentication without the certificate verify message. This flaw effectively allows a client to authenticate without the use of a private key via crafted TLS handshake protocol traffic to a server that recognizes a certification authority with DH support. CVE-2015-0206 Chris Mueller discovered a memory leak in the dtls1_buffer_record function. A remote attacker could exploit this flaw to mount a denial of service through memory exhaustion by repeatedly sending specially crafted DTLS records. For the stable distribution (wheezy), these problems have been fixed in version 1.0.1e-2+deb7u14. For the upcoming stable distribution (jessie), these problems will be fixed soon. For the unstable distribution (sid), these problems have been fixed in version 1.0.1k-1. We recommend that you upgrade your openssl packages. Further information about Debian Security Advisories, how to apply these updates to your system and frequently asked questions can be found at: https://www.debian.org/security/ Mailing list: debian-security-announce em lists.debian.org -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iQIcBAEBCgAGBQJUsljCAAoJEAVMuPMTQ89EGdAP/RVr1R8cqanOF+XmsvjVwz64 0TZwwWvUZknuuqy82leNRlcg4XWhHdR4WbFyO5unOFF/iTzDsxV1aYdDkxU76ufL ja1B7zQ3VJDSRf4lS5e2ycf9XcDzoHYnGhk9F8IYXXGVqFkmlbTQp2ZmI3AiFxEy Z5iXXkZkWS5DAoyGjt16axxekzZPmCK+iGGGrXXqysierzdgsdwgnS0ksrRjdKXP 9FuBTD6sGQAZAe7cTpGc3PElujHvBp8/TTWWLk7aWHx8Jsa93NrjSQ0TwAeyP6kD LwoydDLnRdORz5zfrcC/zyZWzBJtlOyNmzAo+pV52mYeNlXn6s+lLMFZbeaOW4bu E57N9u9bBcKCxrhOyg1s8G8hmd9unkv1f/G0N/Bwu6+i86BMYNH8mbJDICdkGCML 6jiitfyFwcU1BfcLu/iMVDGytMYYWz6O6nvOK3tz68y6C8aQoqubdnhXU71oVyua Rvf1KPKDuvRf7zbIg5xWXkjvS+CbMUppgGPxdYRyxETwlU0UxCo9dfVSyO35tS3R +RdFHp/8pWgtxkbMoO2WWrh6UwW3Chpyp7w1f3b2tPsrdSs8P9iRjIbIPWT+V0PV 5D8T6WPqiTu0Q5rhpMo2PHVUQSh96zLFnrdAhxapKMQeGBMdpAU24flboAUdDqKl QOmT1rysszfPJCd6WkUK =Ur11 -----END PGP SIGNATURE----- ----- End forwarded message ----- From security em unicamp.br Wed Jan 28 10:39:01 2015 From: security em unicamp.br (CSIRT Unicamp) Date: Wed, 28 Jan 2015 10:39:01 -0200 Subject: [SECURITY-L] =?windows-1252?q?Nova_Vulnerabilidade_cr=EDtica_em_g?= =?windows-1252?q?libc_=28CVE-2015-0235=29=5BGhost=5D?= Message-ID: <54C8D865.9000602@unicamp.br> Foi descoberto uma vulnerabilidade crítica na biblioteca glibc. O bug, que foi apelidado de "Ghost" por alguns pesquisadores, afeta todas versões do glibc anteriores a 2.18. A falha está nas funções gethostbyname() e gethostbyname2(). Estas funções são utilizadas para resolução de nomes de host. Um atacante remoto capaz de chamar qualquer uma destas funções pode explorar a falha para executar código arbitrário com as permissões do usuário que está executando o aplicativo. Todos os sistemas Unix que utilizam versões anteriores a 2.18 estão vulneráveis. Recomendamos fortemente que atualizem glibc para a versão mais recente. Mais informações podem ser obtidas abaixo: https://access.redhat.com/articles/1332213 https://isc.sans.edu/diary/New+Critical+GLibc+Vulnerability+CVE-2015-0235+%28aka+GHOST%29/19237 Att === Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830 From security em unicamp.br Thu Jan 29 07:54:02 2015 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 29 Jan 2015 07:54:02 -0200 Subject: [SECURITY-L] CAIS-Alerta: Vulnerabilidade envolvendo a GNU C Library (glibc) Message-ID: <20150129095402.GA18039@unicamp.br> Prezados, ### IMPORTANTE ### Recomendamos fortemente aos administradores de maquina Unix/ Linux que atualizem seus sistemas devido a vulnerabilidade encontrada na biblioteca "glibc" que permite que um usuario mal intencionado, de foma remota, obtenha controle total do sistema afetado. Repassamos informações divulgadas pelo CAIS/RNP. === Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC E-mail: security em unicamp.br GnuPG Public Key: http://www.security.unicamp.br/security.asc Contact: +55 19 3521-2289 or +55 19 3521-2290 INOC-DBA-BR: 1251*830 ----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca ----- Date: Wed, 28 Jan 2015 18:35:14 -0200 (BRST) From: Centro de Atendimento a Incidentes de Seguranca To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br Subject: CAIS-Alerta: Vulnerabilidade envolvendo a GNU C Library (glibc) -----BEGIN PGP SIGNED MESSAGE----- Prezados, O CAIS alerta para uma vulnerabilidade envolvendo a GNU C Library (glibc), um componente amplamente utilizado nas distribuições Linux, que pode permitir a atacantes executarem código arbitrário em sistemas e obter o controle do sistema operacional. Até o momento da publicação desse alerta, não foram divulgados códigos de exploração para a vulnerabilidade listada. Descrição Um usuário mal intencionado pode obter controle total do sistema afetado, de forma remota. Sistemas impactados A glibc é um componente importante para grande parte dos serviços disponíveis em sistemas Linux; por exemplo, serviços que façam resolução de nomes utilizando uma das funções gethostbyname() ou gethostbyname2(), estão vulneráveis. Versões afetadas Da versão 2.2 até a versão 2.17. As distribuições do Linux que utilizam glibc-2.18 em diante, não são afetadas. Correções disponíveis Atualizar a versão da GNU C Library (glibc) para a versão mais recente disponível para o sistema operacional. É recomendada a reinicialização do servidor após a atualização, devido a quantidade de serviços que utilizam a biblioteca afetada. Identificadores CVE (http://cve.mitre.org) CVE-2015-0235 Mais informações https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt https://security-tracker.debian.org/tracker/CVE-2015-0235 https://access.redhat.com/security/cve/CVE-2015-0235 http://www.ubuntu.com/usn/usn-2485-1/ http://lists.centos.org/pipermail/centos-announce/2015-January/020906.html https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability https://www.us-cert.gov/ncas/current-activity/2015/01/27/Linux-Ghost-Remote-Code-Execution-Vulnerability O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.6 (GNU/Linux) Comment: Made with pgp4pine 1.76 iQCVAwUBVMlIDukli63F4U8VAQHBzwP/bzAP7meWgPip9k0EVmUcBFDlTnwDfUVy NO6uIjagLXVAxQaS+di0cvh96Ev+6zIzTC4PoUo2q5azv28n46mxZfo38uNMIDtb PW19WBeHNM4sDFA7gzerLvTCvJ2TfUZqyLDXqeL2pm1jmtt7TQaouisAvquZEZZA 1eBt3rEBIsc= =wvTi -----END PGP SIGNATURE----- ----- End forwarded message -----