home *** CD-ROM | disk | FTP | other *** search
/ Nebula 2 / Nebula Two.iso / Documents / CERT / cert_summaries / CS-95:03 < prev    next >
Encoding:
Text File  |  1996-02-16  |  6.9 KB  |  185 lines
  1. ---------------------------------------------------------------------------
  2. CERT Summary CS-95:03
  3. November 28, 1995
  4.  
  5. The CERT Coordination Center periodically issues the CERT Summary to draw
  6. attention to the types of attacks currently being reported to our incident
  7. response staff. The summary includes pointers to sources of information for
  8. dealing with the problems. We also list new or updated files that are
  9. available for anonymous FTP from ftp://info.cert.org
  10.  
  11. Past CERT Summaries are available from 
  12.      ftp://info.cert.org/pub/cert_summaries
  13. ---------------------------------------------------------------------------
  14.  
  15. Recent Activity 
  16. --------------- 
  17.  
  18. Since the September CERT Summary, we have seen these continuing trends in
  19. incidents reported to us. The majority of reported incidents fit into four
  20. categories:
  21.  
  22. 1. Packet Sniffers
  23.  
  24. We continue to see daily incident reports about intruders who have installed
  25. sniffers on compromised systems. These sniffers, used to collect account names
  26. and passwords, are frequently installed with a kit that includes Trojan horse
  27. binaries. The Trojan horse binaries hide the sniffer activity on the systems
  28. on which they are installed.
  29.  
  30. For further information and methods for detecting packet sniffers and Trojan
  31. horses, see the following files:
  32.  
  33.   ftp://info.cert.org/pub/cert_advisories/CA-94:01.network.monitoring.attacks
  34.   ftp://info.cert.org/pub/cert_advisories/CA-94:01.README
  35.   ftp://info.cert.org/pub/cert_advisories/CA-94:05.MD5.checksum
  36.   ftp://info.cert.org/pub/cert_advisories/CA-94:05.README
  37.  
  38.  
  39. 2. Exploitation of SGI lp Vulnerability 
  40.  
  41. The vulnerability described in CERT advisory, CA:95:15 "SGI lp Vulnerability"
  42. continues to be exploited, though we have seen a decline in the number of
  43. reports since the advisory was released on November 8. Intruders gain
  44. unauthorized access to Silicon Graphics, Inc. (SGI) IRIX systems through a
  45. passwordless lp account; they use this initial access to leverage additional
  46. privileges on the compromised system.
  47.  
  48. As distributed by SGI, the lp account (as well as other accounts), has no
  49. password on a newly installed system. This fact is addressed in the
  50. documentation that SGI distributes with their systems: "IRIX Advanced Site 
  51. and Server Administrative Guide" (see the chapter on System Security).
  52. More information on this vulnerability and how it can be addressed can be
  53. obtained from
  54.  
  55.   ftp://info.cert.org/pub/cert_advisories/CA-95:15.SGI.lp.vul
  56.  
  57.  
  58. 3. Network Scanning
  59.  
  60. We continue to receive several reports each week of intruders using the
  61. Internet Security Scanner (ISS) to scan both individual hosts and large IP
  62. address ranges. The ISS tool, which is described in CERT advisory CA-93:14
  63. "Internet Security Scanner", interrogates all computers within a specified
  64. IP address range, determining the security posture of each with respect to
  65. several common system vulnerabilities. Intruders use the information
  66. gathered from such scans to gain unauthorized access to the scanned sites.
  67.  
  68. As part of a defensive strategy, you may want to consider running ISS against
  69. your own site (in accordance with your organization's policies and procedures)
  70. to identify any possible system weaknesses or vulnerabilities, taking steps to
  71. implement security fixes that may be necessary. ISS is available from
  72.  
  73.   ftp://info.cert.org/pub/tools/iss/iss13.tar
  74.  
  75. More information about the ISS tool and steps for protecting your site are 
  76. outlined in the following documents:
  77.  
  78.   ftp://info.cert.org/pub/cert_advisories/CA-93:14.Internet.Security.Scanner
  79.   ftp://info.cert.org/pub/cert_advisories/CA-93:14.README
  80.   ftp://info.cert.org/pub/tech_tips/security_info
  81.   ftp://info.cert.org/pub/tech_tips/packet_filtering
  82.  
  83.  
  84. 4. Sendmail Attacks
  85.  
  86. New reports of intruders attacking sites through sendmail vulnerabilities are
  87. continuing to arrive daily, although most reports indicate the attacks have
  88. failed. The types of attacks are varied, but most are aimed at gaining
  89. privileged access to the victim machine.
  90.  
  91. We encourage sites to combat these threats by taking the appropriate steps,
  92. described in the following documents:
  93.  
  94.   ftp://info.cert.org/pub/cert_advisories/CA-95:05.sendmail.vulnerabilities
  95.   ftp://info.cert.org/pub/cert_advisories/CA-95:05.README
  96.   ftp://info.cert.org/pub/cert_advisories/CA-95:08.sendmail.v.5.vulnerability
  97.   ftp://info.cert.org/pub/cert_advisories/CA-95:08.README
  98.   ftp://info.cert.org/pub/cert_advisories/CA-95:11.sun.sendmail-oR.vul
  99.   ftp://info.cert.org/pub/cert_advisories/CA-95:11.README
  100.  
  101.  
  102. What's New in the CERT FTP Archive
  103. ----------------------------------
  104. We have made the following changes since the last CERT Summary (September 26,
  105. 1995). 
  106.  
  107. * New Additions
  108.  
  109. ftp://info.cert.org/pub/cert_advisories/
  110.  
  111.     CA-95:12.sun.loadmodule.vul
  112.     CA-95:13.syslog.vul
  113.     CA-95:14.Telnetd_Environment_Vulnerability
  114.     CA-95:15.SGI.lp.vul
  115.  
  116. ftp://info.cert.org/pub/cert_bulletins/
  117.  
  118.     VB-95:07.abell (lsof)
  119.     VB-95-08.X_Authentication_Vul
  120.  
  121. ftp://info.cert.org/pub/tools/sendmail
  122.  
  123.     sendmail/sendmail.8.7.1.tar 
  124.     sendmail/sendmail.8.7.1.tar.Z
  125.  
  126.  
  127. * Updated Files 
  128.  
  129. ftp://info.cert.org/pub/cert_advisories/
  130.  
  131.     CA-93:16a.README (sendmail - note to use smrsh with all versions)
  132.     CA-95:05.README (sendmail - date of Digital Equipment's patch)
  133.     CA-95:08.README (sendmail - note to use smrsh with all versions)
  134.     CA-95:10.README (ghostscript - patches and explanations)
  135.     CA-95:13.README (syslog - information from vendors)
  136.     CA-95:14.README (telnetd - information from vendors; correction to
  137.                      compilation example)
  138.  
  139. ftp://info.cert.org/pub/tools/cops
  140.     README (more recent email address for COPS author Dan Farmer)
  141.  
  142.  
  143. ---------------------------------------------------------------------------
  144. How to Contact the CERT Coordination Center
  145.  
  146. Email    cert@cert.org 
  147.  
  148. Phone    +1 412-268-7090 (24-hour hotline) 
  149.                 CERT personnel answer 8:30-5:00 p.m. EST
  150.                 (GMT-5)/EDT(GMT-4), and are on call for
  151.                 emergencies during other hours. 
  152.  
  153. Fax      +1 412-268-6989
  154.  
  155. Postal address
  156.         CERT Coordination Center
  157.         Software Engineering Institute
  158.         Carnegie Mellon University
  159.         Pittsburgh PA 15213-3890
  160.  
  161. To be added to our mailing list for CERT advisories 
  162. and bulletins, send your email address to
  163.  
  164.         cert-advisory-request@cert.org
  165.  
  166. CERT advisories and bulletins are posted on the USENET news group
  167.  
  168.          comp.security.announce
  169.  
  170. If you wish to send sensitive incident or vulnerability information to CERT
  171. staff by electronic mail, we strongly advise that the email be encrypted.  
  172. We can support a shared DES key, PGP, or PEM (contact CERT staff for details).
  173.  
  174. Location of CERT PGP key
  175.  
  176.          ftp://info.cert.org/pub/CERT.PGP_key
  177.  
  178. ---------------------------------------------------------------------------
  179. Copyright 1995 Carnegie Mellon University
  180. This material may be reproduced and distributed without permission
  181. provided it is used for noncommercial purposes and credit is given to the CERT
  182. Coordination Center.
  183.  
  184. CERT is a service mark of Carnegie Mellon University.
  185.