
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=utf-8">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";

        color:black;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;

        color:black;}

span.EmailStyle19

        {mso-style-type:personal;

        font-family:"Arial","sans-serif";

        color:#000099;

        font-weight:normal;

        font-style:normal;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Arial","sans-serif";

        color:#000099;

        font-weight:normal;

        font-style:normal;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body bgcolor=white lang=EN-US link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";

color:#000099'>The IP address of the vulnerable machine is 128.111.28.92. This is

mapped to </span>ilab-92.cs.ucsb.edu.<span style='font-size:10.0pt;font-family:

"Arial","sans-serif";color:#000099'><o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";

color:#000099'><o:p> </o:p></span></p>


<div>


<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>


<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";

color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:

"Tahoma","sans-serif";color:windowtext'> Jeff Oakes

[mailto:joakes@engineering.ucsb.edu] <br>

<b>Sent:</b> Wednesday, January 20, 2010 2:46 PM<br>

<b>To:</b> Matthew Turk<br>

<b>Cc:</b> holl@cs.ucsb.edu; joakes@engineering.ucsb.edu<br>

<b>Subject:</b> Re: [Fwd: [COMS #29172] [UCSB-OIT #200325] Vulnerabilities

Found on 128.111.28.92]<o:p></o:p></span></p>


</div>


</div>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal style='margin-bottom:12.0pt'>Matthew,<br>

<br>

% nmap -P0 128.111.28.92<br>

<br>

Starting Nmap 5.00 ( <a href="http://nmap.org">http://nmap.org</a> ) at

2010-01-20 14:43 PST<br>

Interesting ports on ilab-92.cs.ucsb.edu (128.111.28.92):<br>

Not shown: 990 closed ports<br>

PORT     STATE    SERVICE<br>

25/tcp   filtered smtp<br>

135/tcp  open     msrpc<br>

139/tcp  open     netbios-ssn<br>

445/tcp  open     microsoft-ds<br>

1030/tcp open     iad1<br>

1031/tcp open     iad2<br>

1032/tcp open     iad3<br>

1433/tcp open     ms-sql-s<br>

2401/tcp open     cvspserver<br>

3389/tcp open     ms-term-serv<br>

<br>

The host is alive and most likely not patched. Patching info can be found here:<o:p></o:p></p>


<pre>Solution :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Microsoft has released a set of patches for Windows 2000, XP, 2003,<o:p></o:p></pre><pre>Vista and 2008 :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre><a

href="http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx">http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Thanks,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Jeff<o:p></o:p></pre>


<p class=MsoNormal><br>

<br>

On 1/20/10 2:40 PM, Matthew Turk wrote: <o:p></o:p></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";

color:#000099'>I asked around, but no one fessed up to this. Is the unpatched

system still on our network? We have a lab meeting tomorrow, so I can pass

along any “demands” or advice from you guys.</span><o:p></o:p></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";

color:#000099'> </span><o:p></o:p></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";

color:#000099'>           

Matthew</span><o:p></o:p></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";

color:#000099'> </span><o:p></o:p></p>


<div>


<div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;

border-color:-moz-use-text-color -moz-use-text-color'>


<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";

color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:

"Tahoma","sans-serif";color:windowtext'> Jeff Oakes [<a

href="mailto:joakes@engineering.ucsb.edu">mailto:joakes@engineering.ucsb.edu</a>]

<br>

<b>Sent:</b> Tuesday, January 19, 2010 2:49 PM<br>

<b>To:</b> <a href="mailto:holl@cs.ucsb.edu">holl@cs.ucsb.edu</a><br>

<b>Cc:</b> <a href="mailto:mturk@cs.ucsb.edu">mturk@cs.ucsb.edu</a>; <a

href="mailto:joakes@engineering.ucsb.edu">joakes@engineering.ucsb.edu</a><br>

<b>Subject:</b> Fwd: [Fwd: [COMS #29172] [UCSB-OIT #200325] Vulnerabilities

Found on 128.111.28.92]</span><o:p></o:p></p>


</div>


</div>


<p class=MsoNormal> <o:p></o:p></p>


<p class=MsoNormal>All,<br>

<br>

any resolution here?<br>

<br>

Thanks,<br>

<br>

Jeff<br>

<br>

-------- Original Message -------- <o:p></o:p></p>


<table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0>

 <tr>

  <td nowrap valign=top style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal align=right style='text-align:right'><b>Subject: </b><o:p></o:p></p>

  </td>

  <td style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal>[Fwd: [COMS #29172] [UCSB-OIT #200325] Vulnerabilities

  Found on 128.111.28.92]<o:p></o:p></p>

  </td>

 </tr>

 <tr>

  <td nowrap valign=top style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal align=right style='text-align:right'><b>Date: </b><o:p></o:p></p>

  </td>

  <td style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal>Thu, 17 Dec 2009 11:28:58 -0800<o:p></o:p></p>

  </td>

 </tr>

 <tr>

  <td nowrap valign=top style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal align=right style='text-align:right'><b>From: </b><o:p></o:p></p>

  </td>

  <td style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal>Jeff Oakes <a href="mailto:joakes@engineering.ucsb.edu"><joakes@engineering.ucsb.edu></a><o:p></o:p></p>

  </td>

 </tr>

 <tr>

  <td nowrap valign=top style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal align=right style='text-align:right'><b>To: </b><o:p></o:p></p>

  </td>

  <td style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal>Tobias Hollerer <a href="mailto:holl@cs.ucsb.edu"><holl@cs.ucsb.edu></a><o:p></o:p></p>

  </td>

 </tr>

 <tr>

  <td nowrap valign=top style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal align=right style='text-align:right'><b>CC: </b><o:p></o:p></p>

  </td>

  <td style='padding:0in 0in 0in 0in'>

  <p class=MsoNormal>Matthew Turk <a href="mailto:mturk@cs.ucsb.edu"><mturk@cs.ucsb.edu></a>,

  "joakes >> Jeff Oakes" <a

  href="mailto:joakes@engineering.ucsb.edu"><joakes@engineering.ucsb.edu></a><o:p></o:p></p>

  </td>

 </tr>

</table>


<p class=MsoNormal style='margin-bottom:12.0pt'> <o:p></o:p></p>


<pre>Tobias and Matthew,<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>could you please get in touch with the user on ilab-92.cs.ucsb.edu and <o:p></o:p></pre><pre>have them patch this vulnerability? Also, you may want to address the <o:p></o:p></pre><pre>fact that your wiki:<o:p></o:p></pre><pre> <o:p></o:p></pre><pre><a

href="http://majuro.cs.ucsb.edu/wiki/index.php/Systems_Info">http://majuro.cs.ucsb.edu/wiki/index.php/Systems_Info</a><o:p></o:p></pre><pre> <o:p></o:p></pre><pre>is world readable and contains information that you may not want the <o:p></o:p></pre><pre>world to have access to (such as passwords!).<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Thanks,<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Jeff<o:p></o:p></pre><pre> <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>-------- Original Message --------<o:p></o:p></pre><pre>Subject: [COMS #29172] [UCSB-OIT #200325] Vulnerabilities Found on <o:p></o:p></pre><pre>128.111.28.92<o:p></o:p></pre><pre>Date: Wed, 16 Dec 2009 11:11:08 -0800<o:p></o:p></pre><pre>From: <a

href="mailto:vsc@oit.ucsb.edu">vsc@oit.ucsb.edu</a> via CS Support <a

href="mailto:support@cs.ucsb.edu"><support@cs.ucsb.edu></a><o:p></o:p></pre><pre>Reply-To: <a

href="mailto:support@cs.ucsb.edu">support@cs.ucsb.edu</a><o:p></o:p></pre><pre>References: <a

href="mailto:RT-Ticket-29172@cs.ucsb.edu"><RT-Ticket-29172@cs.ucsb.edu></a> <o:p></o:p></pre><pre><a

href="mailto:RT-Ticket-200325@oit.ucsb.edu"><RT-Ticket-200325@oit.ucsb.edu></a> <o:p></o:p></pre><pre><a

href="mailto:rt-3.8.1-9170-1260990658-57.200325-6-0@oit.ucsb.edu"><rt-3.8.1-9170-1260990658-57.200325-6-0@oit.ucsb.edu></a><o:p></o:p></pre><pre> <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Wed Dec 16 11:11:08 2009: Request 29172 was acted upon.<o:p></o:p></pre><pre>Transaction: Ticket created by <a

href="mailto:vsc@oit.ucsb.edu">vsc@oit.ucsb.edu</a><o:p></o:p></pre><pre>       Queue: General<o:p></o:p></pre><pre>     Subject: [UCSB-OIT #200325] Vulnerabilities Found on 128.111.28.92<o:p></o:p></pre><pre>       Owner: Nobody<o:p></o:p></pre><pre>  Requestors: <a

href="mailto:vsc@oit.ucsb.edu">vsc@oit.ucsb.edu</a><o:p></o:p></pre><pre>      Status: new<o:p></o:p></pre><pre> Ticket <URL: <a

href="https://rt.cs.ucsb.edu/Ticket/Display.html?id=29172">https://rt.cs.ucsb.edu/Ticket/Display.html?id=29172</a> ><o:p></o:p></pre><pre> <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Greetings:<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Our vulnerability scanner has found vulnerable hosts on your network.<o:p></o:p></pre><pre>I highly recommend taking the recommended actions mentioned in this<o:p></o:p></pre><pre>report in order to reduce the chances of this host becoming compromised.<o:p></o:p></pre><pre>If you believe any part of this report to be false, please let me know<o:p></o:p></pre><pre>so that we can work to improve our reporting accuracy.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Here are the relevant parts of the report:<o:p></o:p></pre><pre>----------------------------------------<o:p></o:p></pre><pre>IP Address: 128.111.28.92<o:p></o:p></pre><pre>Scanned on Dec 12, 2009 at 02:08<o:p></o:p></pre><pre>----------------------------------------<o:p></o:p></pre><pre>Nessus Plugin ID: 35362<o:p></o:p></pre><pre>Port Info: microsoft-ds (445/tcp)<o:p></o:p></pre><pre>Synopsis :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>It is possible to crash the remote host due to a flaw in SMB.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Description :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>The remote host is vulnerable to memory corruption vulnerability in<o:p></o:p></pre><pre>SMB which may allow an attacker to execute arbitrary code or perform a<o:p></o:p></pre><pre>denial of service against the remote host.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Solution :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Microsoft has released a set of patches for Windows 2000, XP, 2003,<o:p></o:p></pre><pre>Vista and 2008 :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre><a

href="http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx">http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx</a><o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Risk factor :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Critical / CVSS Base Score : 10.0<o:p></o:p></pre><pre>(CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>CVE : CVE-2008-4834, CVE-2008-4835, CVE-2008-4114<o:p></o:p></pre><pre>BID : 31179, 33121, 33122<o:p></o:p></pre><pre>Other references : OSVDB:48153, OSVDB:52691, OSVDB:52692<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>----------------------------------------<o:p></o:p></pre><pre>Nessus Plugin ID: 34477<o:p></o:p></pre><pre>Port Info: general/tcp<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Synopsis :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Arbitrary code can be executed on the remote host due to a flaw in the<o:p></o:p></pre><pre>'Server' service.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Description :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>The remote host is vulnerable to a buffer overrun in the 'Server'<o:p></o:p></pre><pre>service that may allow an attacker to execute arbitrary code on the<o:p></o:p></pre><pre>remote host with the 'System' privileges.<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Solution :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Microsoft has released a set of patches for Windows 2000, XP, 2003,<o:p></o:p></pre><pre>Vista and 2008 :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre><a

href="http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx">http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx</a><o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Risk factor :<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>Critical / CVSS Base Score : 10.0<o:p></o:p></pre><pre>(CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>CVE : CVE-2008-4250<o:p></o:p></pre><pre>BID : 31874<o:p></o:p></pre><pre>Other references : OSVDB:49243<o:p></o:p></pre><pre> <o:p></o:p></pre><pre> <o:p></o:p></pre><pre>-- <o:p></o:p></pre><pre>E. Todd Atkins<o:p></o:p></pre><pre>Network Security Coordinator<o:p></o:p></pre><pre>Office of Information Technology<o:p></o:p></pre><pre>University of California, Santa Barbara<o:p></o:p></pre><pre> <o:p></o:p></pre><pre>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++<o:p></o:p></pre><pre>    I encourage you to use our Nessus scanner to periodically<o:p></o:p></pre><pre>    scan your hosts. You can schedule scans at<o:p></o:p></pre><pre>    <a

href="http://vsc.oit.ucsb.edu">http://vsc.oit.ucsb.edu</a><o:p></o:p></pre><pre>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++<o:p></o:p></pre><pre> <o:p></o:p></pre><pre> <o:p></o:p></pre><pre> <o:p></o:p></pre>


<p class=MsoNormal><o:p> </o:p></p>


</div>


</body>


</html>