home *** CD-ROM | disk | FTP | other *** search

---

/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nasirc / nasa9406.txt

< prev

next >

Wrap

Text File  |  1994-07-02  |  7KB  |  138 lines

---

1. NASIRC BULLETIN # 94-06                                      March 11,1994
2.  
3.                        Security Vulnerability in Gopher
4.          ===========================================================
5.                __    __      __      ___   ___  ____     ____  
6.               /_/\  /_/|    /_/     / _/\ /_/| / __/ \  / __/\ 
7.               | |\ \| ||   /  \ \   | /\/ | || | /\ \/  | | \/ 
8.               | ||\ \ ||  / /\ \ \   \ \  | || |_\/ /\  | |    
9.               | || \ \|| / /--\ \ \ /\_\\ | || | |\ \ \ | \_/\ 
10.               |_|/  \_|//_/    \_\/ \/__/ |_|/ |_| \_\/ \___\/ 
11.              NASA Automated Systems Incident Response Capability
12.          ===========================================================
13.  
14.    NASIRC recently received notification of new security vulnerabilities in
15.    UNIX-based gopher systems that could allow  unauthorized access to files
16.    in the  directories above the  gopher system,  including password files.
17.    This problem affects  both clients and servers,  including the recently-
18.    released gopher1.13 and 2.012.
19.  
20. THE PROBLEM:
21.  
22.    A failure in the gopher server (gopherd)  internal access controls might
23.    make the reading of files in directories above the gopher data directory
24.    (e.g., the password file)  possible if the gopherd  does not run chroot.
25.    This problem can be found in all versions before gpopher1.1 (Gopher) and
26.    gopher2.012 (Gopher+).
27.  
28.    This vulnerability only affects servers that are started with the option
29.    "-c". Without this option, gopherd runs chroot and access to files above
30.    the gopher-data directory is disabled.
31.  
32.    The DFN-CERT  in Germany  has recommended  to its constituency  that all
33.    sites with  public access  gopher clients  turn them off  until a fix is
34.    applied.  NASIRC agrees that NASA system administrators should apply the
35.    fix described below,  but we currently  do *not* feel that shutting down
36.    all gophers in the interim is necessary.
37.  
38. DETERMINING YOUR VULNERABILITY:
39.  
40.    All versions  before  gopher1.13 (Gopher)  and gopher2.012  (Gopher+) are
41.    vulnerable.  If gopherd is started with the option "-c" (check your local
42.    /etc/inetd.conf or /etc/rc.*), the system is vulnerable to an attack.
43.  
44.    To determine if this vulnerability  has been exploited, check the gopher
45.    logs as follows:  First, to find the actual gopher-log filename, look in
46.    the /etc/inetd.conf file  (using the -l option)  or in the  gopherd.conf
47.    file (using "Logfile:"), then issue the following command:
48.  
49.                         grep "\.\." logfilename
50.  
51.    (For example,  if your system's gopher-log file is  /var/adm/gopher.log,
52.    you would type:  host% grep "\.\." /var/adm/gopher.log)
53.  
54.    Every line displayed  by this command  shows a potential attack;  if the
55.    "\.\." string is found,  all users should change their passwords and you
56.    should examine the system for possible intrusions or unauthorized use.
57.  
58. FIXING THE PROBLEM:
59.  
60.    Essentially, the "-c" option should NOT be used to start gopherd.
61.  
62.    It is also suggested that you run the most recent versions of gopher, as
63.    they fix other potential vulnerabilities;  these are gopher1.13 (Gopher)
64.    and gopher2.012 (Gopher+).   They can be acquired via anonymous ftp from
65.    several Internet sites, the most notable being boombox.micro.umn.edu; on
66.    that system,  look in  /pub/gopher/Unix  for the files  gopher1.13.tar.Z
67.    and gopher2.012.tar.Z
68.  
69.    If for some reason your system requires the use of the "-c" option when
70.    starting gopherd,  a tool called  "chrootuid"  is available that allows
71.    you to run commands in restricted environments; if you use this tool to
72.    chroot before the gopher server is started -- similar to the use of the
73.    TCP_Wrapper -- you can still use the "-c" option.  The use of chrootuid
74.    to protect the gopher server is detailed within the tool's README file.
75.    The chrootuid package  is available via  anonymous ftp from  the NASIRC
76.    server.  
77.  
78.    Note that  use of chrootuid and/or  changing the gopherd startup syntax
79.    constitues a configuration change which  will allow you to run the WAIS
80.    search engine and FTP Gateway in a secure way,  but which may interfere
81.    with other gopher-based services;  be sure to test  all aspects of your
82.    client or server  before pronouncing the work "done."  In addition, the
83.    overall security of  your local system  can be affected by gopher-based
84.    services (e.g., storing compressed files, telnet links, other gateways)
85.    that you choose to offer.
86.  
87.    
88.    NASIRC will continue to monitor the situation  and will post additional
89.    information as appropriate. If you have any questions concerning gopher
90.    security, feel free to contact us at any of the venues listed below.
91.  
92.      =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
93.          NASIRC ACKNOWLEDGES: The DFN-CERT in Hamburg, Germany, for 
94.           forwarding this information in a rapid and timely manner.
95.      =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
96.  
97.       ===============================================================
98.         For further assistance, please contact the NASIRC Helpdesk:
99.            Phone: 1-800-7-NASIRC             Fax: 1-301-441-1853
100.                      Internet Email: nasirc@nasa.gov
101.             24 Hour/Emergency Pager: 1-800-759-7243/Pin:2023056
102.                         STU III: 1-301-982-5480
103.       ===============================================================
104.       This bulletin may be forwarded without restriction to sites and 
105.              system administrators within the NASA community.
106.  
107.       The NASIRC online archive system is available via anonymous ftp.
108.       Just ftp to nasirc.nasa.gov and login as anonymous.  You will be
109.       required to enter your valid e-mail address.  Once there you can
110.       access the following information:
111.  
112.           /toolkits           ! contains automated toolkit software
113.           /bulletins          ! contains NASIRC bulletins
114.        
115.       Information maintained in these directories is updated on a con-
116.       tinuous basis  with relevant software  and information.  Contact 
117.       the NASIRC Helpdesk for more information or assistance with tool
118.       kits or security measures.
119.  
120.                              -----------------
121.  
122.      PLEASE NOTE: Users outside of the NASA community  may receive NASIRC
123.      bulletins. If you are not part of the NASA community, please contact
124.      your agency's response team to report incidents.  Your agency's team
125.      will coordinate  with NASIRC,  who will  ensure the  proper internal
126.      NASA team(s)  are notified.   NASIRC is  a member  of  the  Forum of
127.      Incident Response and Security Teams (FIRST), a world-wide organiza-
128.      tion which provides for coordination between incident response teams
129.      in handling computer-security-related issues.  You can obtain a list
130.      of FIRST  member organizations  and their  constituencies by sending
131.      email to   docserver@first.org   with an empty  "subject" line and a
132.      message body containing the line "send first-contacts".
133.  
134.  
135.  
136.  
137.  
138.