home *** CD-ROM | disk | FTP | other *** search
/ Nebula 2 / Nebula Two.iso / Documents / CERT / cert_summaries / CS-95:02 < prev    next >
Text File  |  1996-02-15  |  8KB  |  215 lines
  1. ---------------------------------------------------------------------------
  2. CERT Summary CS-95:02
  3. September 26, 1995
  4.  
  5. The CERT Coordination Center periodically issues the CERT Summary to draw
  6. attention to the types of attacks currently being reported to our incident
  7. response staff. The summary includes pointers to sources of information for
  8. dealing with the problems. Starting with this summary, we will also list new
  9. or updated files that are available for anonymous FTP from ftp://info.cert.org
  10.  
  11. Past CERT Summaries are available from 
  12.           ftp://info.cert.org/pub/cert_summaries
  13. ---------------------------------------------------------------------------
  14.  
  15. Recent Activity
  16. ---------------
  17. Since the July CERT Summary, we have seen these continuing trends in incidents
  18. reported to us:
  19.  
  20. 1. Sendmail Attacks
  21.  
  22. We receive several reports each week of attacks through sendmail, with
  23. intruders using a variety of techniques. Most of the attacks are aimed at
  24. gaining privileged access to the victim machine.
  25.  
  26. To combat these threats, we encourage sites to take the appropriate steps
  27. outlined in the following:
  28.  
  29.   ftp://info.cert.org/pub/cert_advisories/CA-95:11.sun.sendmail-oR.vul
  30.   ftp://info.cert.org/pub/cert_advisories/CA-95:11.README
  31.  
  32.   ftp://info.cert.org/pub/cert_advisories/CA-95:08.sendmail.v.5.vulnerability
  33.   ftp://info.cert.org/pub/cert_advisories/CA-95:08.README
  34.  
  35. A number of sites have reported some confusion on the need to continue using
  36. the sendmail restricted shell program (smrsh). You need to run the smrsh tool
  37. in conjunction with the most recently patched version of sendmail for your
  38. system.
  39.  
  40. Information on the smrsh tool can be obtained from these places in
  41.   ftp://info.cert.org/pub/
  42.  
  43.                    tools/sendmail/smrsh/
  44.                    cert_advisories/CA-93:16.sendmail.vulnerability
  45.                    cert_advisories/CA-93:16a.sendmail.vulnerability.supplement
  46.                    cert_advisories/CA-93:16a.README
  47.                    cert_advisories/CA-95:11.sun.sendmail-oR.vul
  48.                    cert_advisories/CA-95:11.README
  49.  
  50. The smrsh program can be obtained from
  51.  
  52.   ftp://info.cert.org/pub/tools/smrsh/
  53.  
  54. It is included in the sendmail 8.7 distribution.
  55.  
  56.  
  57. 2. Network Scanning
  58.  
  59. Several incidents have recently been reported in which intruders scan a large
  60. address range using the Internet Security Scanner (ISS). As described in CERT
  61. advisory CA-93:14, this tool interrogates all computers within a specified IP
  62. address range, determining the security posture of each with respect to
  63. several common system vulnerabilities.
  64.  
  65. Intruders have used the information gathered from these scans to compromise
  66. sites. We are aware of many systems that have suffered a root compromise as a
  67. result of information intruders obtained from ISS scans.
  68.  
  69. You may wish to run ISS against your own site in accordance with your
  70. organization's policies and procedures. ISS is available from
  71.  
  72.   ftp://info.cert.org/pub/tools/iss/iss13.tar
  73.  
  74. We encourage you to take relevant steps outlined in these documents:
  75.  
  76.   ftp://info.cert.org/pub/cert_advisories/CA-93:14.Internet.Security.Scanner
  77.   ftp://info.cert.org/pub/cert_advisories/CA-93:14.README
  78.   ftp://info.cert.org/pub/tech_tips/security_info
  79.   ftp://info.cert.org/pub/tech_tips/packet_filtering
  80.  
  81.  
  82. 3. Exploitation of rlogin and rsh
  83.  
  84. We have received some reports about the continued exploitation of a
  85. vulnerability in rlogin and rsh affecting IBM AIX 3 systems and Linux systems.
  86. This is not a new vulnerability, but it continues to exist. Sites have
  87. reported encountering some Linux distributions that contain this
  88. vulnerability.
  89.  
  90. Information on this vulnerability and available solutions can be
  91. obtained from
  92.  
  93.   ftp://info.cert.org/pub/cert_advisories/CA-94:09.bin.login.vulnerability
  94.   ftp://info.cert.org/pub/cert_advisories/CA-94:09.README
  95.  
  96.  
  97. 4. Packet Sniffers
  98.  
  99. We continue to receive new incident reports daily about sniffers on
  100. compromised hosts. These sniffers, used to collect account names and
  101. passwords, are frequently installed using a kit. In some cases, the packet
  102. sniffer was found to have been running for months. Occasionally, sites had
  103. been explicitly warned of the possibility of such a compromise, but the
  104. sniffer activity continued because the site did not address the problem in the
  105. comprehensive manner that we suggest in our security documents.
  106.  
  107. Further information on packet sniffers is available from
  108.  
  109.   ftp://info.cert.org/pub/cert_advisories/CA-94:01.network.monitoring.attacks
  110.   ftp://info.cert.org/pub/cert_advisories/CA-94:01.README
  111.  
  112. Information about detecting sniffers using cpm is in the CA-94:01.README
  113. file. 
  114.  
  115.  
  116. What's New in the CERT FTP Archive
  117. ----------------------------------
  118. We have made the following changes since June 1, 1995.
  119.  
  120. * New Additions:
  121.  
  122. ftp://info.cert.org/pub/
  123.  
  124.     incident.reporting.form (the form you should fill out when
  125.                              reporting an incident to our staff)
  126.  
  127. ftp://info.cert.org/pub/cert_advisories/
  128.  
  129.   CA-95:08.sendmail.v.5.vulnerability
  130.   CA-95:09.Solaris.ps.vul
  131.   CA-95:10.ghostscript
  132.   CA-95:11.sun.sendmail-oR.vul
  133.  
  134. ftp://info.cert.org/pub/cert_bulletins/
  135.  
  136.   VB-95:05.osf    (OSF/DCE security hole)
  137.   VB-95:06.cisco  (vulnerability in Cisco's IOS software)
  138.  
  139. ftp://info.cert.org/pub/tech_tips/
  140.  
  141.   AUSCERT_checklist_1.0 (UNIX checklist developed by the Australian
  142.                            Emergency Response Team) 
  143.  
  144. * Updated Files 
  145.  
  146. ftp://info.cert.org/pub/cert_advisories/
  147.  
  148.   CA-93:14.README (Internet Security Scanner)
  149.   CA-94:01.README (network monitoring)
  150.   CA-94:02.README (SunOS rpc mountd vulnerability)
  151.   CA-94:05.README (md5)
  152.   CA-94:11.README (majordomo) 
  153.   CA-95:01.README (IP spoofing and hijacked terminal connections) 
  154.   CA-95:02.README (binmail vulnerabilities)
  155.   CA-95:05.README (sendmail - several vulnerabilities)
  156.   CA-95:08.README (sendmail version 5 and IDA sendmail) 
  157.   CA-95:09.README (Solaris ps)
  158.   CA-95:11.README (Sun sendmail -oR vulnerability) 
  159.  
  160. We have begun adding a note to advisory README files reminding readers to
  161. check with vendors for current checksum values. After we publish checksums in
  162. advisories and READMEs, files and checksums are sometimes updated at
  163. individual locations.
  164.  
  165. * Other Changes:
  166.  
  167. As we will no longer be keeping the lsof directory current, the directory and
  168. its files have been removed from our FTP site. The current version of lsof is
  169. available from
  170.  
  171.   ftp://vic.cc.purdue.edu/pub/tools/unix/lsof
  172.  
  173. ---------------------------------------------------------------------------
  174. How to Contact the CERT Coordination Center
  175.  
  176. Email    cert@cert.org 
  177.  
  178. Phone    +1 412-268-7090 (24-hour hotline) 
  179.                 CERT personnel answer 8:30-5:00 p.m. EST
  180.                 (GMT-5)/EDT(GMT-4), and are on call for
  181.                 emergencies during other hours. 
  182.  
  183. Fax      +1 412-268-6989
  184.  
  185. Postal address
  186.         CERT Coordination Center
  187.         Software Engineering Institute
  188.         Carnegie Mellon University
  189.         Pittsburgh PA 15213-3890
  190.  
  191. To be added to our mailing list for CERT advisories 
  192. and bulletins, send your email address to
  193.  
  194.          cert-advisory-request@cert.org
  195.  
  196. CERT advisories and bulletins are posted on the USENET news group
  197.  
  198.          comp.security.announce
  199.  
  200. If you wish to send sensitive incident or vulnerability information to CERT
  201. staff by electronic mail, we strongly advise that the email be encrypted.  
  202. We can support a shared DES key, PGP, or PEM (contact CERT staff for details).
  203.  
  204. Location of CERT PGP key
  205.  
  206.          ftp://info.cert.org/pub/CERT.PGP_key
  207.  
  208. ---------------------------------------------------------------------------
  209. Copyright 1995 Carnegie Mellon University
  210. This material may be reproduced and distributed without permission
  211. provided it is used for noncommercial purposes and credit is given to the CERT
  212. Coordination Center.
  213.  
  214. CERT is a service mark of Carnegie Mellon University.
  215.