home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20000824-20010305 / 000143_news@columbia.edu _Thu Dec 21 16:12:22 2000.msg < prev    next >
Internet Message Format  |  2020-01-01  |  2KB
  1. Return-Path: <news@columbia.edu>
  2. Received: from watsun.cc.columbia.edu (watsun.cc.columbia.edu [128.59.39.2])
  3.     by uhaligani.cc.columbia.edu (8.9.3/8.9.3) with ESMTP id QAA15685
  4.     for <kermit.misc@cpunix.cc.columbia.edu>; Thu, 21 Dec 2000 16:12:21 -0500 (EST)
  5. Received: from newsmaster.cc.columbia.edu (newsmaster.cc.columbia.edu [128.59.59.30])
  6.     by watsun.cc.columbia.edu (8.8.5/8.8.5) with ESMTP id QAA16808
  7.     for <kermit.misc@watsun.cc.columbia.edu>; Thu, 21 Dec 2000 16:12:21 -0500 (EST)
  8. Received: (from news@localhost)
  9.     by newsmaster.cc.columbia.edu (8.9.3/8.9.3) id PAA06385
  10.     for kermit.misc@watsun.cc.columbia.edu; Thu, 21 Dec 2000 15:45:14 -0500 (EST)
  11. X-Authentication-Warning: newsmaster.cc.columbia.edu: news set sender to <news> using -f
  12. From: fdc@columbia.edu (Frank da Cruz)
  13. Subject: Re: Sec. Vulnerability in kermit(1)
  14. Date: 21 Dec 2000 20:45:11 GMT
  15. Organization: Columbia University
  16. Message-ID: <91tq4n$67e$1@newsmaster.cc.columbia.edu>
  17. To: kermit.misc@columbia.edu
  18.  
  19. In article <91tmo8$f0r$2@web1.cup.hp.com>,
  20. Security Alert <security-alert@hp.com> wrote:
  21. : ----------------------------------------------------------------------
  22. :    HEWLETT-PACKARD COMPANY SECURITY BULLETIN: #0135, 21 Dec '00
  23. : ----------------------------------------------------------------------
  24. : ISSUE:  Kermit communications software contains a buffer overflow.
  26. This same problem was also reported to Linux Bugtraq a while back.  Like
  27. many long-lived programs, C-Kermit contains its share of sprintf's,
  28. strcpy's, etc.  An extensive audit was performed after C-Kermit 7.0 was
  29. released in January 2000 and the next release, 7.1, has all known memory
  30. leaks and buffer vulnerabilities plugged.
  31.  
  32. While it is advisable to patch the current release, the real solution to
  33. this problem is to download and test C-Kermit 7.1 Alpha.01, which was
  34. announced here two weeks ago.  You can find it here:
  35.  
  36.   http://www.columbia.edu/kermit/ck71.txt
  37.  
  38. and when the testing phase over, to install it in place of C-Kermit 6.0,
  39. which is what /bin/kermit is today on HP-UX 10.00 and later.
  40.  
  41. C-Kermit 7.1 also has hundreds of other improvements and new features
  42. listed here (C-Kermit 7.0):
  43.  
  44.   http://www.columbia.edu/kermit/ckermit.html
  45.  
  46. and here (C-Kermit 7.1):
  47.  
  48.   http://www.columbia.edu/kermit/ck71.html
  49.  
  50. Frank da Cruz
  51. The Kermit Project
  52. Columbia University
  53. http://www.columbia.edu/kermit/