home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20000824-20010305 / 000143_news@columbia.edu _Thu Dec 21 16:12:22 2000.msg < prev    next >
Internet Message Format  |  2020-01-01  |  2KB

  1. Return-Path: <news@columbia.edu>
  2. Received: from watsun.cc.columbia.edu (watsun.cc.columbia.edu [128.59.39.2])
  3.     by uhaligani.cc.columbia.edu (8.9.3/8.9.3) with ESMTP id QAA15685
  4.     for <kermit.misc@cpunix.cc.columbia.edu>; Thu, 21 Dec 2000 16:12:21 -0500 (EST)
  5. Received: from newsmaster.cc.columbia.edu (newsmaster.cc.columbia.edu [128.59.59.30])
  6.     by watsun.cc.columbia.edu (8.8.5/8.8.5) with ESMTP id QAA16808
  7.     for <kermit.misc@watsun.cc.columbia.edu>; Thu, 21 Dec 2000 16:12:21 -0500 (EST)
  8. Received: (from news@localhost)
  9.     by newsmaster.cc.columbia.edu (8.9.3/8.9.3) id PAA06385
  10.     for kermit.misc@watsun.cc.columbia.edu; Thu, 21 Dec 2000 15:45:14 -0500 (EST)
  11. X-Authentication-Warning: newsmaster.cc.columbia.edu: news set sender to <news> using -f
  12. From: fdc@columbia.edu (Frank da Cruz)
  13. Subject: Re: Sec. Vulnerability in kermit(1)
  14. Date: 21 Dec 2000 20:45:11 GMT
  15. Organization: Columbia University
  16. Message-ID: <91tq4n$67e$1@newsmaster.cc.columbia.edu>
  17. To: kermit.misc@columbia.edu
  18.  
  19. In article <91tmo8$f0r$2@web1.cup.hp.com>,
  20. Security Alert <security-alert@hp.com> wrote:
  21. : ----------------------------------------------------------------------
  22. :    HEWLETT-PACKARD COMPANY SECURITY BULLETIN: #0135, 21 Dec '00
  23. : ----------------------------------------------------------------------
  24. : ISSUE:  Kermit communications software contains a buffer overflow.
  25. This same problem was also reported to Linux Bugtraq a while back.  Like
  26. many long-lived programs, C-Kermit contains its share of sprintf's,
  27. strcpy's, etc.  An extensive audit was performed after C-Kermit 7.0 was
  28. released in January 2000 and the next release, 7.1, has all known memory
  29. leaks and buffer vulnerabilities plugged.
  30.  
  31. While it is advisable to patch the current release, the real solution to
  32. this problem is to download and test C-Kermit 7.1 Alpha.01, which was
  33. announced here two weeks ago.  You can find it here:
  34.  
  35.   http://www.columbia.edu/kermit/ck71.txt
  36.  
  37. and when the testing phase over, to install it in place of C-Kermit 6.0,
  38. which is what /bin/kermit is today on HP-UX 10.00 and later.
  39.  
  40. C-Kermit 7.1 also has hundreds of other improvements and new features
  41. listed here (C-Kermit 7.0):
  42.  
  43.   http://www.columbia.edu/kermit/ckermit.html
  44.  
  45. and here (C-Kermit 7.1):
  46.  
  47.   http://www.columbia.edu/kermit/ck71.html
  48.  
  49. Frank da Cruz
  50. The Kermit Project
  51. Columbia University
  52. http://www.columbia.edu/kermit/