home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.161 < prev    next >
Text File  |  1995-01-03  |  6KB  |  158 lines
  1. VIRUS-L Digest   Wednesday, 26 Jul 1989    Volume 2 : Issue 161
  2.  
  3. Today's Topics:
  4.  
  5. Sun security problem: restore
  6. VNET and the CHRISMA EXEC (IBM VM/CMS)
  7. viruscan source (PC)
  8. Request for comments on anti-viral software (PC)
  9.  
  10. ---------------------------------------------------------------------------
  11.  
  12. Date:    Wed, 26 Jul 89 09:48:27 -0400
  13. From:    cert@SEI.CMU.EDU
  14. Subject: Sun security problem: restore
  15.  
  16. A security hole has been found in SunOS restore.  This problem affects
  17. SunOS 4.0, 4.0.1, and 4.0.3 systems.  It does not appear in SunOS 3.5.
  18. The problem occurs because restore is setuid to root.  Without going
  19. into details, is sufficient to say that this is a serious hole.  All
  20. SunOS 4.0 installations should install this workaround.  Note that a
  21. user does need to have an existing account to exploit this hole.
  22.  
  23. There are two workarounds that will fix the problem.  The first is
  24. slightly more secure but has some side-effects.
  25.  
  26. 1) Make restore non-setuid by becoming root and doing a
  27. chmod 750 /usr/etc/restore
  28.  
  29. This makes restore non-setuid and unreadable and unexecutable by
  30. ordinary users.
  31.  
  32. Making restore non-setuid affects the restore command using a remote
  33. tape drive.  You will no longer be able to run a restore from another
  34. machine as an ordinary user; instead, you'll have be root to do so.
  35. (The reason for this is that the remote tape drive daemon on the
  36. machine with the tape drive expects a request on a TCP privileged
  37. port.  Under SunOS, you can't get a privileged port unless you are
  38. root.  By making restore non-setuid, when you run restore and request
  39. a remote tape drive, restore won't be able to get a privileged port,
  40. so the remote tape drive daemon won't talk to it.)
  41.  
  42. 2) If you do need to have some users run restore from remote tape
  43. drives without being root, you can use the following workaround.
  44.  
  45. cd /usr/etc
  46. chgrp operator restore
  47. chmod 4550 restore
  48.  
  49. This allows the use of restore by some trusted group.  In this case,
  50. we used the group 'operator', but you may substitute any other group
  51. that you trust with access to the tape drive.  Thus, restore is still
  52. setuid and vulnerable, but only to the people in the trusted group.
  53.  
  54. The 4550 makes restore readable and executable by the group you
  55. specified, and unreadable by everyone else.
  56.  
  57. Sun knows about this problem (Sun Bug 1019265) and will put in a more
  58. permanent fix in a future release of SunOS.
  59.  
  60. J. Paul Holbrook
  61. Computer Emergency Response Team
  62. Internet: <cert@SEI.CMU.EDU>
  63. (412) 268-7090 (24 hour hotline)
  64.  
  65.  
  66. ------------------------------
  67.  
  68. Date:    26 Jul 89 00:00:00 +0000
  69. From:    David M. Chess <CHESS@YKTVMV.BITNET>
  70. Subject: VNET and the CHRISMA EXEC (IBM VM/CMS)
  71.  
  72. Your description of the VNET topology is essentially correct.   On the
  73. other hand, I *don't* think it's the case that the backbone was taken
  74. down at any time during the CHRISTMA incident.  As I say, I was on
  75. vacation, but I think the response at most of the central nodes was
  76. to run a filter; hastier reactions (shutting down, cold-starting, etc)
  77. would have been more likely to have happened at "leaf" nodes, where
  78. the operators were perhaps less experienced.
  79.  
  80. Just because the media like the "IBM's network was shut down" story,
  81. don't assume it's true...    *8)
  82.  
  83. DC
  84.  
  85. ------------------------------
  86.  
  87. Date:    Wed, 26 Jul 89 09:17:58 -0700
  88. From:    Steve Clancy <SLCLANCY@UCI.BITNET>
  89. Subject: viruscan source (PC)
  90.  
  91. I am offering my BBS as another source for Viruscan.  I currently have v29,
  92. which was downloaded DIRECTLY from the HOMEBASE BBS.  The file name is
  93. SCANV29.ZIP.  You will need the latest version of PKUNZIP.EXE to extract
  94. it.  Normally, new users on the BBS are not allowed to download until they
  95. have been registered. However, to gain immediate access to this file, use
  96. the following login:  First name:  VIRUSL
  97.                       Last  name:  BITNET
  98.                       Password  :  SCAN
  99.  
  100. This will give each caller 30 minutes to download this file.  Other
  101. badware-related files are listed in the VIR files directory. The BBS uses
  102. RBBS format commands.
  103.  
  104. Two nodes are available. If another caller is using the special login above
  105. on the other node, use the first name  VIRUSL2 as an alternate with the same
  106. last name and password.
  107.  
  108. The phone numbers and parameters are as follows:
  109.  
  110.        714-856-7996   300-9600 baud (HST) N81  -- 24 hrs
  111.        714-856-5087   300-1200 baud  N81       -- Evenings & weekends
  112.  
  113. The BBS is located at the Biomedical Library, University of California,
  114. Irvine, California, U.S.A.
  115.  
  116. - --SteveClancy, Sysop
  117.  
  118. %   Steve Clancy, Biomedical Library  %  WELLSPRING RBBS            %
  119. %   P.O. Box 19556                    %  714-856-7996 300-9600      %
  120. %   University of California, Irvine  %  714-856-5087 300-1200      %
  121. %   Irvine, CA  92713                 %                             %
  122. %   SLCLANCY@UCI                      %  "Are we having fun yet?"   %
  123.  
  124. ------------------------------
  125.  
  126. Date:    Wed, 26 Jul 89 16:29:15 +0700
  127. From:    CCEYEOYT@NUSVM.BITNET
  128. Subject: Request for comments on anti-viral software (PC)
  129.  
  130. I have just tested a few 'old' anti-viral software and would like to
  131. have your comments on the following findings (hopefully answers for
  132. the questions as well) :
  133.  
  134. 1) SERUM.COM (236 bytes)
  135.    -- This is a TSR program which removes (c)Brain from RAM as well as
  136.       floppy diskettes. However, it does not work on an AT machine. The
  137.       program claims to remove the virus from the infected disk and change
  138.       the disk's label to 'cured'. But when I tested it, the disk was changed
  139.       to the word 'Sidsoft' instead. Does anyone know what's wrong?
  140. 2) KILLPP.EXE (40533 bytes)
  141.    -- This program is able to detect and eradicte the Ping-Pong virus I
  142.       have. However, it only replaces the boot sector with the original
  143.       boot record. The bad sectors remain and hence the viral code still
  144.       exits on the disk. Is that all it does?
  145. 3) NOBRAIN.EXE
  146.    -- This is another program for removing (c)Brain from diskettes. However
  147.       it only works well for diskettes which are formatted using IBM DOS.
  148.  
  149. Thanks in adance for all your help and time.
  150.  
  151. Yeo
  152.  
  153. ------------------------------
  154.  
  155. End of VIRUS-L Digest
  156. *********************
  157. Downloaded From P-80 International Information Systems 304-744-2253
  158.