home *** CD-ROM | disk | FTP | other *** search

---

/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nasirc / nasa9401.txt

< prev

next >

Wrap

Text File  |  1994-07-02  |  14KB  |  393 lines

---

1.  
2.      NASIRC BULLETIN #94-01                     January 7, 1994
3.  
4.             Sendmail Vulnerability update
5.   **Supplementary Document [sendmail.patches] list vendor solutions**
6. ===========================================================================
7.              __    __      __      ___   ___  ____     ____  
8.             /_/\  /_/|    /_/     / _/\ /_/| / __/ \  / __/\ 
9.             | |\ \| ||   /  \ \   | /\/ | || | /\ \/  | | \/ 
10.             | ||\ \ ||  / /\ \ \   \ \  | || |_\/ /\  | |    
11.             | || \ \|| / /--\ \ \ /\_\\ | || | |\ \ \ | \_/\ 
12.             |_|/  \_|//_/    \_\/ \/__/ |_|/ |_| \_\/ \___\/ 
13.            NASA Automated Systems Incident Response Capability
14. ===========================================================================
15.  
16. NASIRC has received information concerning new security patches 
17. available to resolve existing vulnerabilities in sendmail(8).  These 
18. vulnerabilities include those related to mailing to a program, mailing 
19. to a file and a few other minor problems.
20.  
21. This bulletin provides information on new patches available from some 
22. of the vendors.  At the time that NASIRC Bulletin # 93-06 was 
23. published a set of workarounds was included.  These workarounds can 
24. still be used when vendor patches are not available.  They can also be 
25. safely used even when patches have been installed.
26.  
27. A brief listing of all available patches as well as upcoming patches 
28. is provided in the file:
29.  
30.         /bulletins/sendmail.patches
31.  
32. on nasirc.nasa.gov in the anonymous ftp directory.  This file will be 
33. updated as new information is received.  We have appended the file to 
34. this bulletin for ease of use.
35.  
36.  
37.   The NASIRC online archive system is available via anonymous ftp.
38.   Just ftp to nasirc.nasa.gov and login as anonymous.  You will be
39.   required to enter your valid e-mail address.  Once there you can
40.   access the following information:
41.  
42.     /toolkits/mac        ! contains MACdefender software
43.     /bulletins        ! contains NASIRC bulletins
44.  
45.   Complete patch information and vendor specific installation
46.   procedures, as provided by the vendor(s), are included in:
47.  
48.     /bulletins/vendors    ! contains vendor advisories
49.  
50.  
51.   In the future, we will be offering additional security measures and
52.   documentation within this online archive.  Contact the NASIRC Helpdesk
53.   for more information and assistance with toolkits or security measures.
54.  
55.  
56.  NASIRC ACKNOWLEDGES: Sun Microsystems, Inc., Digital Equipment
57.     Corporation and CERT for providing input to this bulletin.
58.  
59.    ==================================================================
60.      For further assistance, please contact the NASIRC Helpdesk:
61.      Phone: 1-800-7-NASIRC                Fax: 1-301-306-1010
62.      Internet Email: nasirc@nasa.gov
63.      24 Hour/Emergency Pager: 1-800-759-7243/Pin:5460866
64.    ==================================================================
65.    This bulletin may be forwarded without restrictions to sites and 
66.    system administrators within the NASA community
67.  
68.                             -----------------
69.  
70.  PLEASE NOTE: Users outside of the NASA community may receive NASIRC
71.     bulletins.  If you are not part of the NASA community, please contact
72.     your agency's response team to report incidents.  Your agency's team
73.     will coordinate with NASIRC, who will ensure the proper internal 
74.     NASA team(s) are notified. NASIRC is a member of the Forum of Incident
75.     Response and Security Teams (FIRST), a world-wide organization which 
76.     provides for coordination between incident response teams in handling 
77.     computer-security-related issues. 
78.  
79.     A list of FIRST member organizations and their constituencies can be
80.     obtained by sending email to docserver@first.org with an empty subject
81.     line and a message body containing the line: send first-contacts. 
82.  
83. =============================================================================
84.      NASIRC BULLETIN #94-01                     January 7, 1994
85.  
86.  
87.             Sendmail Patch Update/Availability
88.             ----------------------------------
89.  
90.  1.  Sun Microsystems, Inc.                AVAILABLE
91.  2.  Data General Corporation (DG)            AVAILABLE
92.  3.  Digital Equipment Corporation (DEC)        AVAILABLE
93.  4.  Hewlett Packard Company (HP)            AVAILABLE
94.  5.  Sequent Computer Systems                AVAILABLE
95.  6.  The Santa Cruz Operation                AVAILABLE SOON
96.  7.  IBM                        AVAILABLE
97.  8.  Solbourne                        AVAILABLE
98.  9.  Sony Corporation                    AVAILABLE
99. 10.  BSDI                        AVAILABLE
100. 11.  Eric Allman, 8.6.4                    AVAILABLE
101. 12.  Paul Pomes, IDA                    AVAILABLE
102. 13.  NeXT, Inc.                        AVAILABLE SOON
103.  
104.  
105.  1.  Sun Microsystems, Inc.:
106.      ----------------------
107.  
108. Sun has made patches for sendmail available, as described in their SUN 
109. MICROSYSTEMS SECURITY BULLETIN: #00125, dated 12/23/93, which is 
110. included in it's entirety in nasirc.nasa.gov, anonymous ftp:
111.  
112.         /bulletin/vendor/sun_sendmail.alert
113.  
114.  
115.         System       Patch ID    Filename        BSD         SVR4
116.                                                  Checksum    Checksum
117.         ------       --------   ---------------  ---------   ---------
118.         SunOS 4.1.x  100377-08  100377-08.tar.Z  05320 755   58761 1510
119.         Solaris 2.1  100840-06  100840-06.tar.Z  59489 195   61100 390
120.         Solaris 2.2  101077-06  101077-06.tar.Z  63001 179   28185 358
121.         Solaris 2.3  101371-03  101371-03.tar.Z  27539 189   51272 377
122.  
123.     A patch for x86 based systems will be forthcoming as patch
124.     ID 101352-02.
125.  
126.     4.1 sites installing these patches may require sites to modify
127.         their configuration files slightly.  Full details are given in 
128.         the Sun advisory.
129.  
130.         The checksums shown above are from the BSD-based checksum
131.     (on 4.1.x, /bin/sum;  on Solaris 2.x, /usr/ucb/sum) and from
132.     the SVR4 version on Solaris 2.x (/usr/bin/sum).
133.  
134.     Sun security patches are available from:
135.         - US        ftp.uu.net    /systems/sun/sun-dist
136.         - Europe    ftp.eu.net    ~ftp/sun/fixes
137.  
138.         Some customers have reported that checksums on patch files
139.         obtained via SunSolve (see section II.A) do not always match
140.         the checksums shown in our Security Bulletins. This happens
141.         because the checksums shown here are for the files uploaded
142.         by us to ftp.uu.net, which are sometimes different--though
143.         functionally equivalent--to the files created for SunSolve.
144.         The checksums shown above should always match the files on
145.         ftp.uu.net, unless a correction has been noted in the
146.         "checksums" file we maintain there.
147.  
148.     Sun will resolve this anomaly in the future. For the present,
149.     SUN advises customers to check with their Answer Centers or this
150.     office if a question of patch authenticity arises.
151.  
152.  
153.  
154.  2.  Data General Corporation (DG):
155.      -----------------------------
156.  
157. Patches are available from:
158.  
159.         dg-rtp.rtp.dg.com (128.222.1.2)
160. in the directory:
161.         /deliver/sendmail
162.  
163. Patch checksums are as follows:
164.                         System V
165.     Revision    Patch Number        Checksum
166.     -----------    ------------        -------------
167.     5.4.2        tcpip_5.4.2.p14        39298 512
168.     5.4R2.01    tcpip_5.4R2.01.p12    65430 512
169.     5.4R2.10    tcpip_5.4R2.10.p05    42625 512
170.  
171. These patches are loadable via the "sysadm" utility and installation 
172. instructions are included in the patch notes.  Trusted versions of DG/UX 
173. will use the same patches as their base version of DG/UX.  Customer with 
174. any questions about these patches should contact their local DG SEs or 
175. Sales Representative.
176.  
177.  
178.  3.  Digital Equipment Corporation (DEC):
179.      -----------------------------------
180.  
181. Systems affected: ULTRIX Versions 4.3 (VAX), ULTRIX V4.3 & V4.3A (RISC),
182. DEC OSF/1 V1.2 & V1.3, using sendmail.  The following patches are available
183. from your normal Digital support channel:
184.  
185.     ULTRIX V4.3 (VAX), V4.3 (RISC) or V4.3a (RISC):  CSCPAT #: CSCPAT_4044
186.                              OSF/1  V1.2 and  V1.3:  CSCPAT #: CSCPAT_4045
187.  
188. *These fixes will be included in future releases of ULTRIX and DEC OSF/1
189.  
190. Digital Equipment Corporation strongly urges Customers to upgrade to a
191. minimum of ULTRIX V4.3 or DEC OSF/1 V1.2, then apply the Security kit to
192. prevent this potential vulnerability.
193.       
194. The full text of Digital's sendmail advisory can be found in NASIRC's 
195. anonymous ftp directory under:
196.  
197.         /bulletins/vendors/dec_sendmail.alert
198.  
199.  
200.  
201.  4.  Hewlett Packard Company (HP):
202.      ----------------------------
203.  
204. For HP/UX, the following patches are available:
205.  
206.     PHNE_3369 (series 300/400, HP-UX-8.x), or
207.     PHNE_3370 (series 300/400, HP-UX-9.x), or
208.     PHNE_3371 (series 700/800, HP-UX-8.x), or
209.     PHNE_3372 (series 700/800, HP-UX-9.x), or
210.  
211.     modify the sendmail configuration file (release of HP-UX
212.     prior to 8.0
213.  
214. You can obtain the patches from Hewlett Packard via email, by doing 
215. the following:
216.  
217.        a. Auto-Patch Email
218.        If you know the name of the patch needed, Email to
219.        hprc_patch@hprc.atl.hp.com with the subject of the message
220.        stated as "patch phkl_9999 rchandle" where phkl_9999 is the patch
221.        name, rchandle is your Response Center system identifier or
222.        company name if you are not currently under Response
223.        Center support. It will automatically be emailed back to you.
224.  
225.        b. HP SupportLine
226.  
227.        Effective early 1993, all new patches are loaded on HPSL. If
228.        you don't have HPSL access or need to know how to sign on, in
229.        the U.S. you can call the following numbers:
230.  
231.         Response Center Customers: 1-800-633-3600
232.         BasicLine Customers:  1-415-691-3888
233.  
234.        Outside the U.S., contact your local Response Center.
235.  
236.        Note that a list of patches can be obtained at any time by
237.        emailing to hprc_patch@hprc.atl.hp.com with the subject of
238.        the message stated as "p-list rchandle", where rchandle is
239.        your Response Center system identifier or your company name
240.        if you are not currently under Response Center support.
241.        The list will automatically be emailed back to you.  The list
242.        includes a short description of the patch.  A more detailed
243.        patch description is included in the patch itself.
244.  
245.  
246.  
247.  5.  Sequent Computer Systems:
248.      ------------------------
249.  
250. The following versions of Sequent operating system are vulnerable:
251.  
252.     Versions 3.0.17 and greater of Dynix
253.     Versions 2.2 and 2.3 of the TCP package of PTX
254.  
255. Sequent customers should call the Sequent Hotline at (800)854-9969 and 
256. ask for the Sendmail Maintenance Release Tape or ptx customers can 
257. upgrade to PTX/TCP/IP version 2.2.3 and 2.3.1 as appropriate.
258.  
259.  
260.  6.  Santa Cruz Operation:
261.      --------------------
262.  
263. Support level Supplement (SLS) net379A will soon be available for the 
264. following platforms:
265.  
266.     SCO TCP/IP Release 1.2.0 for SCO UNIX or SCO XENIX
267.     SCO TCP/IP Release 1.2.1 for SCO UNIX
268.     SCO Open Desktop Release 2.0, 3.0
269.     SCO Open Desktop Lite Release 3.0
270.     SCO Open Server Network System, Release 3.0
271.     SCO Open Server Enterprise System, Release 3.0
272.  
273. This SLS is currently orderable from SCO Support for all customers who 
274. have one of the above products registered.  It will be available in 
275. the near future.  Systems using MMDF as their mail system do not need 
276. this SLS.
277.  
278.  
279.  
280.  7.  IBM:
281.      ----
282.  
283. Patches for the sendmail problems can be ordered as APAR# ix40304 and 
284. APAR# ix413454.  APAR# ix40304 is available now and APAR# ix41354 will 
285. be sent as soon as it is available.
286.  
287.  
288.  
289.  8.  Solbourne:
290.      ---------
291.  
292. Patch p93122301 is available from Solbourne to fix the sendmail
293. problems.  This patch is equivalent to Sun patch 100377-08.
294. It can be retrieved via anonymous FTP from:
295.  
296.          solbourne.solbourne.com
297. in the:
298.          pub/support/OS4.1B directory:
299.  
300. Checksum Information is as follows:
301.  
302.         Filename         BSD         SVR4
303.                  Checksum    Checksum
304.         ---------------  ---------   ---------
305.         p93122301.tar.Z  63749 211   53951 421
306.  
307. It can also be obtained by sending email to solis@solbourne.com
308. and specifying "get patches/4.1b p93122301" in the body of the
309. mail message.
310.  
311. Earlier versions (4.1A.*) are no longer supported.  The 4.1B patch may 
312. well work on 4.1A.* systems but this has not been tested.
313.  
314. If you have any questions please call the SOURCE at 1-800-447-2861 or
315. send email to support@solbourne.com.
316.  
317. The full text of Solbourne's advisory can be found in NASIRC's 
318. anonymous ftp directory under:
319.  
320.         /bulletins/vendors/solbourne_sendmail.alert
321.  
322.  
323.  9.  Sony Corporation:
324.      ----------------
325.  
326. These vulnerabilities have been fixed in NEWS-OS 6.0.1.  A patch is 
327. available for NEWS-OS 4.x.  Customers should contact their dealers for 
328. any additional information.
329.  
330.  
331. 10.  BSDI:
332.      ----
333.  
334. BSDI can supply either an easy-to-install port of sendmail-8.6.4 
335. (contact BSDI Customer Support for information in obtaining the port). 
336. In future releases, BSDI will ship the newer sendmail that is not effected
337. by these problems.  Releases affected by this advisory: BSD/386 V1.0.
338.  
339. BSDI Contact Information:
340.                 BSDI Customer Support
341.                 Berkeley Software Design, Inc.
342.                 7759 Delmonico Drive
343.                 Colorado Springs, CO 80919
344.                 Toll Free: +1 800 ITS BSD8 (+1 800 486 2738)
345.                 Phone: +1 719 260 8114
346.                 Fax: +1 719 598 4238
347.                 Email: support@bsdi.com
348.  
349.  
350.  
351. 11.  Eric Allman, 8.6.4:
352.      ------------------
353.  
354. Version 8.6.4 is available for anonymous ftp from:
355.  
356.         ftp.cs.berkeley.edu
357. in the:
358.         /ucb/sendmail  directory
359.  
360. Checksum Information is as follows:
361.  
362.                     BSD Checksum    System V Checksum
363.                     -------------    ------------------
364. sendmail.8.6.4.base.tar.Z        07718 428    64609 856
365.  
366.  
367.  
368.  
369. 12.  Paul Pomes, IDA:
370.      ---------------
371.  
372. A new release is available for anonymous ftp from:
373.  
374.         vixen.cso.uiuc.edu
375. as:
376.         /pub/sendmail-5.67b+IDA.1.5.tar.gz
377.  
378. Checksum Information is as follows:
379.  
380.                     BSD Checksum    System V Checksum
381.                     --------------    -----------------
382. sendmail-5.67b+IDA-1.5.tar.gz        17272 1341    30425 2682
383.  
384.  
385.  
386. 13.  NeXT, Inc.:
387.      ----------
388.  
389. NeXT expects to have patches for these vulnerabilities available soon.
390.  
391.  
392.  
393.