home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20030409-20031118 / 000088_fdc@columbia.edu_Mon May 19 11:33:47 EDT 2003.msg < prev    next >
Text File  |  2020-01-01  |  3KB  |  62 lines
  1. Article: 14308 of comp.protocols.kermit.misc
  2. Path: newsmaster.cc.columbia.edu!news.columbia.edu!news-not-for-mail
  3. From: fdc@columbia.edu (Frank da Cruz)
  4. Newsgroups: comp.sys.hp.hpux,comp.security.unix,comp.security.misc,comp.protocols.kermit.misc
  5. Subject: Re: SSRT3555 Potential Security Vulnerability in kermit
  6. Date: 19 May 2003 11:20:51 -0400
  7. Organization: Columbia University
  8. Lines: 45
  9. Message-ID: <baasoj$e3d$1@watsol.cc.columbia.edu>
  10. References: <3ec8ed8d$1_2@hpb10302.boi.hp.com>
  11. NNTP-Posting-Host: watsol.cc.columbia.edu
  12. X-Trace: newsmaster.cc.columbia.edu 1053357652 4850 128.59.39.139 (19 May 2003 15:20:52 GMT)
  13. X-Complaints-To: postmaster@columbia.edu
  14. NNTP-Posting-Date: 19 May 2003 15:20:52 GMT
  15. Xref: newsmaster.cc.columbia.edu comp.sys.hp.hpux:156621 comp.security.unix:80576 comp.security.misc:91519 comp.protocols.kermit.misc:14308
  16.  
  17. In article <3ec8ed8d$1_2@hpb10302.boi.hp.com>,
  18. Security Alert <secure@cup.hp.com> wrote:
  19. : PROBLEM: Potential security vulnerability in kermit
  21. What version of Kermit?
  22.  
  23. : IMPACT: Potential increase in privilege.
  25. : PLATFORM: HP9000 Series 700/800 running HP-UX releases 10.20
  26. :           and 11.00.
  28. : SOLUTION: Until a fix is available remove suid permissions
  29. :           from /usr/bin/kermit.
  31. If I'm not mistaken, this report refers to buffer overflow 
  32. vulnerabilities in C-Kermit 6.0 from 1996, or C-Kermit 7.0 from 2000.
  33.  
  34. A thorough audit of buffer-overflow vulnerabilities was performed for
  35. C-Kermit 8.0, which was released in 2001 and furnished to HP at that
  36. time.  If you have HP-UX 11.22, then you also have C-Kermit 8.0 --
  37. problem solved.
  38.  
  39. But if you have HP-UX 11.11, you have C-Kermit 7.0.
  40.  
  41. And If you have HP-UX 11.00 or earlier, you still have C-Kermit 6.0.
  42.  
  43. Thus the problem is that HP does not make new C-Kermit releases available
  44. for previous HP-UX releases.  There is no excuse for this.  I furnish all
  45. new C-Kermit releases to HP and include them in the development cycle.  I
  46. ensure that each new version of C-Kermit builds and runs correctly on every
  47. version of HP-UX from 5.21 to the very latest, and I make prebuilt binaries
  48. available for more than SIXTY (60) different combinations of HP hardware and
  49. HP-UX version.
  50.  
  51. Therefore the "patch" for the above mentioned "problem" is to install an
  52. up-to-date version of Kermit, which is available for all to download right
  53. here:
  54.  
  55.   http://www.columbia.edu/kermit/ckermit.html
  56.  
  57. Prebuilt HP-UX binaries can be found here:
  58.  
  59.   http://www.columbia.edu/kermit/ck80binaries.html#hp
  60.  
  61. - Frank
  62.