home *** CD-ROM | disk | FTP | other *** search
/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / hacking / unixhack / xhack / text0000.txt < prev   
Encoding:
Text File  |  2001-02-10  |  8.3 KB  |  247 lines
  1. CERT Vendor-Initiated Bulletin VB-95:08
  2. November 2, 1995
  3.  
  4. Topic: X Authentication Vulnerability 
  5. Source: X Consortium
  6.  
  7. To aid in the wide distribution of essential security information, the
  8. CERT Coordination Center is forwarding the following information from
  9. the X Consortium. The X Consortium urges you to act on this
  10. information as soon as possible. X Consortium contact information is
  11. included in the forwarded text below; please contact them if you have
  12. any questions or need further information.
  13.  
  14.  
  15. ========================FORWARDED TEXT STARTS HERE============================
  16.  
  17. Two widely used X Window System authorization schemes have weaknesses
  18. in the sample implementation.  These weaknesses could allow
  19. unauthorized remote users to connect to X displays and are present in
  20. X11 Release 6 and earlier releases of the X11 sample implementation.
  21.  
  22. There are reports that systems have been broken into using at
  23. least one of these weaknesses and that there are now exploit
  24. programs available in the intruder community.
  25.  
  26.  
  27. MIT-MAGIC-COOKIE-1 Description:
  28.  
  29. On systems on which xdm is built without the HasXdmAuth config option,
  30. the MIT-MAGIC-COOKIE-1 key generated by xdm may be guessable.
  31.  
  32. If you use MIT-MAGIC-COOKIE-1 to authenticate X connections, and
  33. your keys are generated by xdm, and xdm does not also support
  34. XDM-AUTHORIZATION-1 authentication (that is, your X tree was not
  35. built with the HasXdmAuth config option), you may be at risk.
  36.  
  37. On systems with poor pseudo-random number generators, the key may be
  38. guessable by remote users.  On other systems, users with access to the
  39. file system where xdm stores its keys for use by local servers may be
  40. able to use information in the file system to guess the key.
  41.  
  42. If your xdm program was built with HasXdmAuth set to YES (the compiler
  43. command line includes the -DHASXDMAUTH flag), MIT-MAGIC-COOKIE-1 keys
  44. generated by xdm are not vulnerable; the DES code is used to generate
  45. cryptographically secure keys.
  46.  
  47. Impact
  48.  
  49. Remote users anywhere on the Internet may be able to connect to your
  50. X display server.  It is NOT necessary that they be able to snoop your
  51. key first.
  52.  
  53.  
  54. XDM-AUTHORIZATION-1 Description:
  55.  
  56. The X server does not correctly check the XDM-AUTHORIZATION-1 data and
  57. can be fooled into accepting invalid data.
  58.  
  59. A user who can snoop the encrypted authorization data of a valid
  60. connection can create fake auth data that the X server will accept.
  61.  
  62. If you do not use XDM-AUTHORIZATION-1, you are not vulnerable.
  63.  
  64. Determining whether your server is vulnerable: this problem is fixed
  65. in X servers from the X Consortium with a vendor release number of
  66. 6001 or higher.
  67.  
  68. Impact
  69.  
  70. Remote users may be able to connect to your X display server.
  71.  
  72.  
  73.  
  74. SOLUTIONS
  75.  
  76. A.  Install a vendor supplied patch if available.
  77.  
  78. B.  If your site is using X11 built from X Consortium X11R6 sources,
  79. install public patch #13.  This patch is available via anonymous 
  80. FTP from ftp.x.org as the file /pub/R6/fixes/fix-13.  It is also 
  81. available from the many sites that mirror ftp.x.org.  Apply all patches 
  82. not already applied, up to and including fix-13.  The file xc/bug-report
  83. shows what public patches have been already applied to your source
  84. tree.
  85.  
  86. The MD5 checksum of fix-13 is as follows:
  87.  
  88. MD5 (fix-13) = 0d81d843acf803a8bedf90d3a18b9ed6
  89.  
  90. C.  If your site is using an earlier version of the X Consortium's X11,
  91. upgrade to X11R6.  Install all patches up to and including fix-13.
  92.  
  93. D.  Work arounds.
  94.  
  95. 1.  Building with HasXdmAuth will eliminate the first vulnerability.
  96. The necessary DES code is available for FTP from both inside the
  97. US (for US sites only) and outside (for non-US sites).  Read
  98. <ftp://ftp.x.org/pub/R6/xdm-auth/README> for details on obtaining
  99. this code.
  100.  
  101. 2.  If you cannot use DES, you can determine your exposure to
  102. remote attackers by testing the strength of your rand() function
  103. using the program rand-test; the source is available as
  104. <ftp://ftp.x.org/pub/DOCS/rand-test/rand-test.c>.
  105.  
  106. 3.  Limiting use of X connections using XDM-AUTHORIZATION-1 to trusted
  107. networks will prevent unauthorized parties from snooping X protocol
  108. traffic, thus preventing exploitation of the second vulnerability.
  109.  
  110.  
  111. Acknowledgements: The X Consortium would like to thank Chris Hall of
  112. the University of Colorado for analyzing these problems and bringing
  113. them to our attention.
  114.  
  115.  
  116. -----------------------------------------------------------------
  117.  
  118.                           Vendor Status
  119.  
  120. The following information was supplied by vendors for this bulletin.
  121. The X Consortium and CERT have not verified this information.
  122.  
  123.  
  124. Cray Research
  125.  
  126. UNICOS 8.0 and 9.0 are not vulnerable.  These systems have robust 
  127. pseudo-random number generators, making them not vulnerable to the
  128. first problem, and do not support an X server, making them not
  129. vulnerable to the second problem.
  130.  
  131.  
  132. GSSC (formerly Solbourne)
  133.  
  134. Has concluded they are not vulnerable.
  135.  
  136.  
  137. Hewlett-Packard
  138.  
  139. All versions of X on HP-UX 9.x and 10.x (based on X11R5) do not
  140. have the first vulnerability.
  141.  
  142.  
  143. X Consortium
  144.  
  145. (Sample implementation of X.)  You can patch X11R6 by applying all
  146. public patches up to and including fix-13.  Patches are available
  147. via FTP from ftp.x.org in /pub/R6/fixes/ and from mirroring sites.
  148.  
  149. You can check that the X server has fix-13 installed by verifying
  150. that the server has a vendor release number of 6001 or higher.
  151.  
  152. General questions about the X Window System can be asked on the
  153. xpert mailing list hosted at x.org.  Send a "subscribe" message to
  154. xpert-request@x.org to subscribe.  This list is gatewayed with
  155. the comp.windows.x newsgroup.  The FAQ for this newsgroup is
  156. available from <ftp://ftp.x.org/contrib/faqs/FAQ.Z> and other
  157. locations.  <http://www.x.org/consortium/news_and_mail.html>
  158. describes other newsgroups and mailing lists for the discussion
  159. of issues related to the X Window System.
  160.  
  161. Bugs encounted in X Consortium code can be reported to
  162. xbugs@x.org using the format in xc/bug-report.  Please see the
  163. X11R6 Release Notes for additional details.
  164.  
  165.  
  166. XFree86 Project
  167.  
  168. The XFree86 Project, Inc has patched binaries for XFree86 version 3.1.2
  169. running on FreeBSD 1.1.5, FreeBSD 2.0.5, ISC, NetBSD and SVR4.  They
  170. are available from ftp://ftp.xfree86.org/pub/XFree86/3.1.2/binaries/.
  171. The files are:
  172.  
  173.   FreeBSD-1.1.5/X312Sxdm.tgz
  174.   FreeBSD-2.0.5/X312Sxdm.tgz
  175.   ISC/X312Sxdm.tgz
  176.   NetBSD/X312Sxdm.tgz
  177.   SVR4/X312Sxdm.tgz
  178.  
  179. The MD5 checksums are:
  180.  
  181.   MD5 (FreeBSD-1.1.5/X312Sxdm.tgz) = 43166109c88fcd623d27de1fa90e8f5b
  182.   MD5 (FreeBSD-2.0.5/X312Sxdm.tgz) = 3314a623b2c31a9130445e9237ff65f9
  183.   MD5 (ISC/X312Sxdm.tgz) = e4e16fc5f4d06ad455e572a2e1eb0eb5
  184.   MD5 (NetBSD/X312Sxdm.tgz) = 0bc74cbee0214366ac15658bf5436853
  185.   MD5 (SVR4/X312Sxdm.tgz) = bf5dfea2a86cdf92621421e3f68af203
  186.  
  187. Installation instructions (assuming X312xdm.tgz is in /tmp):
  188.  
  189. Kill any xdm processes that are running, then:
  190.  
  191.   For FreeBSD 1.1.5 and FreeBSD 2.0.5:
  192.  
  193.     cd /usr
  194.     mv X11R6/bin/xdm X11R6/bin/xdm-3.1.2
  195.     chmod 0500 X11R6/bin/xdm-3.1.2
  196.     gzip -d < /tmp/X312xdm.tgz | tar vxf -
  197.  
  198.   For NetBSD:
  199.  
  200.     mv /usr/X11R6/bin/xdm /usr/X11R6/bin/xdm-3.1.2
  201.     chmod 0500 /usr/X11R6/bin/xdm-3.1.2
  202.     pkg_add /tmp/X312Sxdm.tgz
  203.  
  204.   For ISC and SVR4:
  205.  
  206.     cd /usr/X11R6
  207.     mv bin/xdm bin/xdm-3.1.2
  208.     chmod 0500 bin/xdm-3.1.2
  209.     gzip -d < /tmp/X312xdm.tgz | tar vxf -
  210.  
  211.  
  212. =========================FORWARDED TEXT ENDS HERE=============================
  213.  
  214.  
  215. CERT publications, information about FIRST representatives, and
  216. other information related to computer security are available for anonymous 
  217. FTP from info.cert.org. 
  218.  
  219. CERT advisories and bulletins are also posted on the USENET newsgroup
  220. comp.security.announce. If you would like to have future advisories and
  221. bulletins mailed to you or to a mail exploder at your site, please send mail
  222. to cert-advisory-request@cert.org.
  223.  
  224. If you wish to send sensitive incident or vulnerability information to
  225. CERT staff by electronic mail, we strongly advise that the e-mail be
  226. encrypted.  The CERT Coordination Center can support a shared DES key, PGP
  227. (public key available via anonymous FTP on info.cert.org), or PEM (contact
  228. CERT staff for details).
  229.  
  230. Internet email: cert@cert.org
  231. Telephone: +1 412-268-7090 (24-hour hotline)
  232.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  233.            and are on call for emergencies during other hours.
  234. Fax: +1 412-268-6989
  235.  
  236. CERT Coordination Center
  237. Software Engineering Institute
  238. Carnegie Mellon University
  239. Pittsburgh, PA 15213-3890
  240. USA
  241.  
  242.  
  243.  
  244.  
  245. CERT is a service mark of Carnegie Mellon University.
  246.  
  247.