From security em unicamp.br  Wed Apr 14 18:08:28 2021
From: security em unicamp.br (CSIRT Unicamp)
Date: Wed, 14 Apr 2021 18:08:28 -0300
Subject: [SECURITY-L] =?utf-8?q?=5BRNP/CAIS_Alerta_=230069=5D_Vulnerabili?=
	=?utf-8?q?dades_nas_implementa=C3=A7=C3=B5es_do_protocolo_DNS_na_p?=
	=?utf-8?q?ilha_TCP/IP?=
In-Reply-To: <593280435.1274732.1618432466355.JavaMail.zimbra@rnp.br>
References: <593280435.1274732.1618432466355.JavaMail.zimbra@rnp.br>
Message-ID: <CAEsueBNrXxxD56+TAQBgNmJFD7g=jGq+Y+PEpa6fttzc=rUP9Q@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [14/04/2021]: Vulnerabilidades nas implementações do protocolo
DNS na pilha TCP/IP


Prezados,

O CAIS alerta para recentes vulnerabilidades nas implementações do
protocolo DNS na pilha TCP/IP. Até o momento da publicação deste alerta já
foram identificados códigos de exploração para as vulnerabilidades em
questão.


DESCRIÇÃO

Estouro de memória (CVE-2020-7461): a vulnerabilidade encontra-se no módulo
dhclient(cliente DHCP) responsável pela comunicação com os servidores DHCP
da rede.
Um usuário mal intencionado com acesso a rede local poderia criar uma
consulta maliciosa do tipo Domain Search Option para o cliente DHCP e
consequentemente explorar uma vulnerabilidade na função de compressão do
registro de nome DNS, a exploração da vulnerabilidade provoca um estouro de
memória no sistema.O processo afetado nessa vulnerabilidade é executado com
privilégios reduzidos em uma sandbox, dessa forma reduz o impacto das ações
que o usuário malicioso pode executar.

Estouro de memória (CVE-2016-20009): a vulnerabilidade encontra-se no
módulo ipdnsc_decode_name(cliente DNS) responsável pela tradução de nomes.
Um usuário mal intencionado com acesso a rede local poderia criar uma
consulta maliciosa para o cliente DNS explorando uma vulnerabilidade na
função de descompactação de mensagem e causar estouro de memória no sistema.

Estouro de memória (CVE-2020-15795): a vulnerabilidade encontra-se no
cliente DNS e permite que um usuário mal intencionado com uma posição
privilegiada na rede possa criar uma consulta maliciosa explorando uma
vulnerabilidade na função de análise do rótulo do nome de domínio DNS. A
exploração dessa vulnerabilidade permite a um invasor executar código
arbitrários no sistema ou causar negação de serviço.

Estouro de memória  (2020-27009): a vulnerabilidade encontra-se no cliente
DNS e permite que um usuário mal intencionado com uma posição privilegiada
na rede possa criar uma consulta maliciosa explorando uma vulnerabilidade
na função de descompactação do registro de nome DNS. A exploração dessa
vulnerabilidade permite a um invasor executar código arbitrários no sistema
ou causar negação de serviço.


SISTEMAS IMPACTADOS

Protocolo DNS


VERSÕES AFETADAS

FreeBSD: versões 12.1-STABLE antes de r365010, 11.4-STABLE antes de
r365011, 12.1-RELEASE antes de p9, 11.4-RELEASE antes de p3, 11.3-RELEASE
antes de p13
IPnet: versões VxWorks 7, VxWorks 6.9, VxWorks 6.8, VxWorks 6.7, VxWorks
6.6, and VxWorks 6.5
Nucleus NET: versões anteriores a 5.2



CORREÇÕES DISPONÍVEIS

Atualizar seguindo as recomendações do desenvolvedor.


IDENTIFICADORES CVE (http://cve.mitre.org)

 - - CVE-2016-20009, CVE-2020-7461
 - - CVE-2020-15795, CVE-2020-27009


MAIS INFORMAÇÕES
[1] -
https://www.freebsd.org/security/advisories/FreeBSD-SA-20:26.dhclient.asc
[2] - https://nvd.nist.gov/vuln/detail/CVE-2020-7461
[3] - https://nvd.nist.gov/vuln/detail/CVE-2016-20009
[4] - https://nvd.nist.gov/vuln/detail/CVE-2020-15795
[5] - https://nvd.nist.gov/vuln/detail/CVE-2020-27009
[6] -
https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/
[7] -
https://www.forescout.com/company/resources/namewreck-breaking-and-fixing-dns-implementations/


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=pWjT
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta

===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20210414/dcb763c1/attachment.html>

From security em unicamp.br  Thu Apr 22 13:34:13 2021
From: security em unicamp.br (CSIRT Unicamp)
Date: Thu, 22 Apr 2021 13:34:13 -0300
Subject: [SECURITY-L] [Security-news] Drupal core - Critical - Cross-site
 scripting - SA-CORE-2021-002
Message-ID: <CAEsueBPBySnsfLurMfjf6wWMfUt7aR93Bp8pDgS2o0=96G3-aA@mail.gmail.com>

Project: Drupal core [1]
Date: 2021-April-21
Security risk: *Critical* 15?25
AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Default [2]
Vulnerability: Cross-site scripting

Description:
Drupal core's sanitization API fails to properly filter cross-site scripting
under certain circumstances.

Not all sites and users are affected, but configuration changes to prevent
the exploit might be impractical and will vary between sites. Therefore, we
recommend all sites update to this release as soon as possible.

Solution:
Install the latest version:

   * If you are using Drupal 9.1, update to Drupal 9.1.7 [3].
   * If you are using Drupal 9.0, update to Drupal 9.0.12 [4].
   * If you are using Drupal 8.9, update to Drupal 8.9.14 [5].
   * If you are using Drupal 7, update to Drupal 7.80 [6].

Versions of Drupal 8 prior to 8.9.x are end-of-life and do not receive
security coverage.

Reported By:
   * Jasper Mattsson [7]

Fixed By:
   * Alex Pott [8] of the Drupal Security Team
   * Jasper Mattsson [9]
   * Michael Hess [10] of the Drupal Security Team
   * Wim Leers [11]
   * Heine [12] of the Drupal Security Team
   * Peter Wolanin [13] of the Drupal Security Team
   * Jess (xjm) [14] of the Drupal Security Team
   * Samuel Mortenson [15] of the Drupal Security Team
   * nwellnhof [16]
   * Alex Bronstein [17] of the Drupal Security Team
   * Lee Rowlands [18] of the Drupal Security Team
   * Adam G-H [19]
   * Drew Webber [20] of the Drupal Security Team


[1] https://www.drupal.org/project/drupal
[2] https://www.drupal.org/security-team/risk-levels
[3] https://www.drupal.org/project/drupal/releases/9.1.7
[4] https://www.drupal.org/project/drupal/releases/9.0.12
[5] https://www.drupal.org/project/drupal/releases/8.9.14
[6] https://www.drupal.org/project/drupal/releases/7.80
[7] https://www.drupal.org/user/521118
[8] https://www.drupal.org/user/157725
[9] https://www.drupal.org/user/521118
[10] https://www.drupal.org/user/102818
[11] https://www.drupal.org/user/99777
[12] https://www.drupal.org/user/17943
[13] https://www.drupal.org/user/49851
[14] https://www.drupal.org/user/65776
[15] https://www.drupal.org/user/2582268
[16] https://www.drupal.org/user/3407764
[17] https://www.drupal.org/user/78040
[18] https://www.drupal.org/user/395439
[19] https://www.drupal.org/user/205645
[20] https://www.drupal.org/user/255969
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20210422/9313f50b/attachment.html>

From security em unicamp.br  Fri Apr 30 15:04:15 2021
From: security em unicamp.br (CSIRT Unicamp)
Date: Fri, 30 Apr 2021 15:04:15 -0300
Subject: [SECURITY-L] [RNP/CAIS Alerta #0071] Vulnerabilidades no BIND 9
In-Reply-To: <882579762.1604204.1619804903967.JavaMail.zimbra@rnp.br>
References: <882579762.1604204.1619804903967.JavaMail.zimbra@rnp.br>
Message-ID: <CAEsueBOpyV8HsAFmiYckt8C_caQFs2mxszNSYMrxwkupAtMjYw@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [30/04/2021]: Vulnerabilidades no BIND 9

Prezados,


O CAIS alerta para vulnerabilidades recentes envolvendo o servidor de nomes
(DNS) BIND 9. Até o momento da divulgação deste alerta, não foram
divulgados códigos de exploração para as vulnerabilidades
listadas.


Descrição

Negação de Serviço (CVE-2021-25214): a vulnerabilidade encontra-se no
tratamento incorreto de registros durante o processo de transferência de
zonas. Um usuário mal intencionado poderia criar uma requisição maliciosa
de transferência de zona e causar a indisponibilidade do serviço de DNS.

Negação de Serviço (CVE-2021-25215): a vulnerabilidade encontra-se no
tratamento incorreto das respostas de registros DNAME. Um usuário mal
intencionado poderia criar uma consulta maliciosa para o servidor
DNS BIND recursivo ou autoritativo e consequentemente causar a
indisponibilidade do serviço de DNS.

Estouro de memória (CVE-2021-25216): a vulnerabilidade está relacionada a
uma extensão do protocolo de autenticação TSIG DNS conhecida como GSS-TSIG,
usuários que estiverem utilizando os recursos fornecidos por esse
protocolo, estão vulneráveis. Um usuário mal intencionado poderia criar uma
consulta maliciosa e causar um estouro de buffer no servidor, permitindo
dessa forma a execução remota de código.


Sistemas impactados

BIND 9


Versões afetadas

BIND 9.5, 9.8, 9.9, 9.11, 9.11-S, 9.12, 9.16, 9.16-S, 9.17


Correções disponíveis

Atualizar a versão do BIND para a mais recente disponibilizada pelos
desenvolvedores ou a versão mais recente de acordo com o sistema em uso.


Identificadores CVE (http://cve.mitre.org)
CVE-2021-25214
CVE-2021-25215
CVE-2021-25216

Mais informações
https://kb.isc.org/docs/cve-2021-25214
https://kb.isc.org/v1/docs/cve-2021-25215
https://kb.isc.org/v1/docs/cve-2021-25216
https://www.zdnet.com/article/isc-urges-updates-of-dns-servers-to-wipe-out-new-bind-vulnerabilities/


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.


Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=rvMu
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta


===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20210430/4d676357/attachment.html>