home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nasirc / nasa9403.txt < prev    next >
Text File  |  1994-07-02  |  5KB  |  93 lines
  1.  
  2.   NASIRC BULLETIN #94-03                                   February 24, 1994 
  3.  
  4.                   AIX Performance Tools Vulnerabilities
  5.        ===========================================================
  6.              __    __      __      ___   ___  ____     ____  
  7.             /_/\  /_/|    /_/     / _/\ /_/| / __/ \  / __/\ 
  8.             | |\ \| ||   /  \ \   | /\/ | || | /\ \/  | | \/ 
  9.             | ||\ \ ||  / /\ \ \   \ \  | || |_\/ /\  | |    
  10.             | || \ \|| / /--\ \ \ /\_\\ | || | |\ \ \ | \_/\ 
  11.             |_|/  \_|//_/    \_\/ \/__/ |_|/ |_| \_\/ \___\/ 
  12.            NASA Automated Systems Incident Response Capability
  13.        ===========================================================
  14.  
  15.   NASIRC recently received information about a security vulnerability in
  16.   the AIX Licensed Program Product (performance tools). Specifically, if
  17.   "bosext1.extcmds.obj" has been installed on systems running AIX 3.2.5,
  18.   or on  systems running  AIX 3.2.4  with Program Temporary Fixes (PTFs)
  19.   U420020 or U422510  installed,  local users can gain unauthorized root
  20.   access to the system. (This problem apparently does NOT exist in other
  21.   versions of AIX.)
  22.  
  23.   Temporary fix:
  24.  
  25.   The recommended "fix" is to  change the permissions of all programs in
  26.   the /usr/lpp/bosperf  directory structure  so as to  remove the setuid
  27.   and ensure they are all executable only by "root".  To do this, system
  28.   managers (after issuing "su root") should enter the following command:
  29.  
  30.                     chmod -R u-s,og= /usr/lpp/bosperf/*
  31.  
  32.   Programs affected by this include  filemon, fileplace, genkex, genkld,
  33.   lvedit, netpmon, rmap, rmss, stripnm, svomn, and tprof.  After issuing
  34.   the above command,  none of these  programs will be  executable by any
  35.   user other than "root".
  36.  
  37.   Permanent patch:
  38.  
  39.   Patches for this problem can be ordered as Authorized Program Analysis
  40.   Report (APAR) IX42332,  which will be shipped as soon as possible.  To
  41.   order an APAR from IBM,  call 1-800-237-5511  and ask for the specific
  42.   APAR number to be shipped.   (APARs may be obtained outside the USA by
  43.   contacting your local IBM representative.)
  44.  
  45.   NASIRC will continue to monitor the situation and will post additional
  46.   information as it becomes available.   If you have any difficulties in
  47.   acquiring the APAR  or have any questions about this situation, please
  48.   contact NASIRC at any of the venues listed below.
  49.  
  50.     =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  51.     NASIRC ACKNOWLEDGES: USAF/DISA for forwarding this information, and
  52.           ARPA/CERT & IBM for their rapid response to the problem.
  53.     =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  54.  
  55.      ===============================================================
  56.        For further assistance, please contact the NASIRC Helpdesk:
  57.           Phone: 1-800-7-NASIRC             Fax: 1-301-441-1853
  58.                     Internet Email: nasirc@nasa.gov
  59.            24 Hour/Emergency Pager: 1-800-759-7243/Pin:2023056
  60.                        STU III: 1-301-982-5480
  61.      ===============================================================
  62.      This bulletin may be forwarded without restriction to sites and 
  63.             system administrators within the NASA community.
  64.  
  65.      The NASIRC online archive system is available via anonymous ftp.
  66.      Just ftp to nasirc.nasa.gov and login as anonymous.  You will be
  67.      required to enter your valid e-mail address.  Once there you can
  68.      access the following information:
  69.  
  70.          /toolkits           ! contains automated toolkit software
  71.          /bulletins          ! contains NASIRC bulletins
  72.        
  73.      Information maintained  in these directories  is be updated on a
  74.      continuous basis with relevant software and information. Contact 
  75.      the NASIRC Helpdesk for more information or assistance with tool
  76.      kits or security measures.
  77.  
  78.                             -----------------
  79.  
  80.     PLEASE NOTE: Users outside of the NASA community  may receive NASIRC
  81.     bulletins. If you are not part of the NASA community, please contact
  82.     your agency's response team to report incidents.  Your agency's team
  83.     will coordinate  with NASIRC,  who will  ensure the  proper internal
  84.     NASA team(s)  are notified.   NASIRC is  a member  of  the  Forum of
  85.     Incident Response and Security Teams (FIRST), a world-wide organiza-
  86.     tion which provides for coordination between incident response teams
  87.     in handling computer-security-related issues.  You can obtain a list
  88.     of FIRST  member organizations  and their  constituencies by sending
  89.     email to   docserver@first.org   with an empty  "subject" line and a
  90.     message body containing the line "send first-contacts".
  91.  
  92.  
  93.