home *** CD-ROM | disk | FTP | other *** search

---

/ Nebula 2 / Nebula Two.iso / Documents / CERT / cert_summaries / CS-95:03

< prev

next >

Wrap

Text File  |  1996-02-15  |  7KB  |  185 lines

---

1. ---------------------------------------------------------------------------
2. CERT Summary CS-95:03
3. November 28, 1995
4.  
5. The CERT Coordination Center periodically issues the CERT Summary to draw
6. attention to the types of attacks currently being reported to our incident
7. response staff. The summary includes pointers to sources of information for
8. dealing with the problems. We also list new or updated files that are
9. available for anonymous FTP from ftp://info.cert.org
10.  
11. Past CERT Summaries are available from 
12.      ftp://info.cert.org/pub/cert_summaries
13. ---------------------------------------------------------------------------
14.  
15. Recent Activity 
16. --------------- 
17.  
18. Since the September CERT Summary, we have seen these continuing trends in
19. incidents reported to us. The majority of reported incidents fit into four
20. categories:
21.  
22. 1. Packet Sniffers
23.  
24. We continue to see daily incident reports about intruders who have installed
25. sniffers on compromised systems. These sniffers, used to collect account names
26. and passwords, are frequently installed with a kit that includes Trojan horse
27. binaries. The Trojan horse binaries hide the sniffer activity on the systems
28. on which they are installed.
29.  
30. For further information and methods for detecting packet sniffers and Trojan
31. horses, see the following files:
32.  
33.   ftp://info.cert.org/pub/cert_advisories/CA-94:01.network.monitoring.attacks
34.   ftp://info.cert.org/pub/cert_advisories/CA-94:01.README
35.   ftp://info.cert.org/pub/cert_advisories/CA-94:05.MD5.checksum
36.   ftp://info.cert.org/pub/cert_advisories/CA-94:05.README
37.  
38.  
39. 2. Exploitation of SGI lp Vulnerability 
40.  
41. The vulnerability described in CERT advisory, CA:95:15 "SGI lp Vulnerability"
42. continues to be exploited, though we have seen a decline in the number of
43. reports since the advisory was released on November 8. Intruders gain
44. unauthorized access to Silicon Graphics, Inc. (SGI) IRIX systems through a
45. passwordless lp account; they use this initial access to leverage additional
46. privileges on the compromised system.
47.  
48. As distributed by SGI, the lp account (as well as other accounts), has no
49. password on a newly installed system. This fact is addressed in the
50. documentation that SGI distributes with their systems: "IRIX Advanced Site 
51. and Server Administrative Guide" (see the chapter on System Security).
52. More information on this vulnerability and how it can be addressed can be
53. obtained from
54.  
55.   ftp://info.cert.org/pub/cert_advisories/CA-95:15.SGI.lp.vul
56.  
57.  
58. 3. Network Scanning
59.  
60. We continue to receive several reports each week of intruders using the
61. Internet Security Scanner (ISS) to scan both individual hosts and large IP
62. address ranges. The ISS tool, which is described in CERT advisory CA-93:14
63. "Internet Security Scanner", interrogates all computers within a specified
64. IP address range, determining the security posture of each with respect to
65. several common system vulnerabilities. Intruders use the information
66. gathered from such scans to gain unauthorized access to the scanned sites.
67.  
68. As part of a defensive strategy, you may want to consider running ISS against
69. your own site (in accordance with your organization's policies and procedures)
70. to identify any possible system weaknesses or vulnerabilities, taking steps to
71. implement security fixes that may be necessary. ISS is available from
72.  
73.   ftp://info.cert.org/pub/tools/iss/iss13.tar
74.  
75. More information about the ISS tool and steps for protecting your site are 
76. outlined in the following documents:
77.  
78.   ftp://info.cert.org/pub/cert_advisories/CA-93:14.Internet.Security.Scanner
79.   ftp://info.cert.org/pub/cert_advisories/CA-93:14.README
80.   ftp://info.cert.org/pub/tech_tips/security_info
81.   ftp://info.cert.org/pub/tech_tips/packet_filtering
82.  
83.  
84. 4. Sendmail Attacks
85.  
86. New reports of intruders attacking sites through sendmail vulnerabilities are
87. continuing to arrive daily, although most reports indicate the attacks have
88. failed. The types of attacks are varied, but most are aimed at gaining
89. privileged access to the victim machine.
90.  
91. We encourage sites to combat these threats by taking the appropriate steps,
92. described in the following documents:
93.  
94.   ftp://info.cert.org/pub/cert_advisories/CA-95:05.sendmail.vulnerabilities
95.   ftp://info.cert.org/pub/cert_advisories/CA-95:05.README
96.   ftp://info.cert.org/pub/cert_advisories/CA-95:08.sendmail.v.5.vulnerability
97.   ftp://info.cert.org/pub/cert_advisories/CA-95:08.README
98.   ftp://info.cert.org/pub/cert_advisories/CA-95:11.sun.sendmail-oR.vul
99.   ftp://info.cert.org/pub/cert_advisories/CA-95:11.README
100.  
101.  
102. What's New in the CERT FTP Archive
103. ----------------------------------
104. We have made the following changes since the last CERT Summary (September 26,
105. 1995). 
106.  
107. * New Additions
108.  
109. ftp://info.cert.org/pub/cert_advisories/
110.  
111.     CA-95:12.sun.loadmodule.vul
112.     CA-95:13.syslog.vul
113.     CA-95:14.Telnetd_Environment_Vulnerability
114.     CA-95:15.SGI.lp.vul
115.  
116. ftp://info.cert.org/pub/cert_bulletins/
117.  
118.     VB-95:07.abell (lsof)
119.     VB-95-08.X_Authentication_Vul
120.  
121. ftp://info.cert.org/pub/tools/sendmail
122.  
123.     sendmail/sendmail.8.7.1.tar 
124.     sendmail/sendmail.8.7.1.tar.Z
125.  
126.  
127. * Updated Files 
128.  
129. ftp://info.cert.org/pub/cert_advisories/
130.  
131.     CA-93:16a.README (sendmail - note to use smrsh with all versions)
132.     CA-95:05.README (sendmail - date of Digital Equipment's patch)
133.     CA-95:08.README (sendmail - note to use smrsh with all versions)
134.     CA-95:10.README (ghostscript - patches and explanations)
135.     CA-95:13.README (syslog - information from vendors)
136.     CA-95:14.README (telnetd - information from vendors; correction to
137.                      compilation example)
138.  
139. ftp://info.cert.org/pub/tools/cops
140.     README (more recent email address for COPS author Dan Farmer)
141.  
142.  
143. ---------------------------------------------------------------------------
144. How to Contact the CERT Coordination Center
145.  
146. Email    cert@cert.org 
147.  
148. Phone    +1 412-268-7090 (24-hour hotline) 
149.                 CERT personnel answer 8:30-5:00 p.m. EST
150.                 (GMT-5)/EDT(GMT-4), and are on call for
151.                 emergencies during other hours. 
152.  
153. Fax      +1 412-268-6989
154.  
155. Postal address
156.         CERT Coordination Center
157.         Software Engineering Institute
158.         Carnegie Mellon University
159.         Pittsburgh PA 15213-3890
160.  
161. To be added to our mailing list for CERT advisories 
162. and bulletins, send your email address to
163.  
164.         cert-advisory-request@cert.org
165.  
166. CERT advisories and bulletins are posted on the USENET news group
167.  
168.          comp.security.announce
169.  
170. If you wish to send sensitive incident or vulnerability information to CERT
171. staff by electronic mail, we strongly advise that the email be encrypted.  
172. We can support a shared DES key, PGP, or PEM (contact CERT staff for details).
173.  
174. Location of CERT PGP key
175.  
176.          ftp://info.cert.org/pub/CERT.PGP_key
177.  
178. ---------------------------------------------------------------------------
179. Copyright 1995 Carnegie Mellon University
180. This material may be reproduced and distributed without permission
181. provided it is used for noncommercial purposes and credit is given to the CERT
182. Coordination Center.
183.  
184. CERT is a service mark of Carnegie Mellon University.
185.