home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nasirc / nasa9408.txt < prev    next >
Text File  |  1994-07-02  |  5KB  |  101 lines
  1.  
  2. NASIRC BULLETIN # 94-08                                      March 23, 1994
  3.  
  4.           NEW Security Vulnerability in Sendmail (v8.6.7 and older)
  5.          ===========================================================
  6.                __    __      __      ___   ___  ____     ____  
  7.               /_/\  /_/|    /_/     / _/\ /_/| / __/ \  / __/\ 
  8.               | |\ \| ||   /  \ \   | /\/ | || | /\ \/  | | \/ 
  9.               | ||\ \ ||  / /\ \ \   \ \  | || |_\/ /\  | |    
  10.               | || \ \|| / /--\ \ \ /\_\\ | || | |\ \ \ | \_/\ 
  11.               |_|/  \_|//_/    \_\/ \/__/ |_|/ |_| \_\/ \___\/ 
  12.              NASA Automated Systems Incident Response Capability
  13.          ===========================================================
  14.  
  15.    NASIRC recently received notification of a new security vulnerability
  16.    in all versions of sendmail 8.x prior to the current release (8.6.8),
  17.    as well as several vendors' versions of sendmail. NOTE: THIS BULLETIN
  18.    SUPERCEDES NASIRC BULLETIN #94-07 OF 15-MAR-1994.
  19.  
  20. THE PROBLEM:
  21.  
  22.    According to the sendmail author,  users could gain unauthorized root
  23.    access by using certain unique values for the "-d" flag  (this is the
  24.    same bug that drove the v8.6.7 release last week).   Although the bug
  25.    only works if  sendmail is run from the command line,  it could allow
  26.    users to read any file on the system.   This problem is found only in
  27.    version 8 releases of sendmail;  other sendmail versions  (e.g., IDA,
  28.    smail, etc.) are not affected.
  29.  
  30. FIXING THE PROBLEM:
  31.  
  32.    NASIRC strongly recommends that you install version 8.6.8 of sendmail
  33.    immediately.  The new sendmail release is available via Anonymous FTP
  34.    from  nasirc.nasa.gov  under the following directories:
  35.  
  36.      o For Ultrix 4.X systems: /toolkits/DEC/Ultrix_4_x
  37.  
  38.      o For Silicon Graphics, Inc. systems: /toolkits/UNIX/Sendmail/SGI
  39.  
  40.      o For SunOS 4.1.x systems: /toolkits/UNIX/Sendmail/Sun_4_1_x
  41.  
  42.      o For compressed source code to build sendmail 8.6.8 from scratch:
  43.        /toolkits/UNIX/Sendmail/Source_Code
  44.  
  45.    We plan to make other sendmail version 8.6.8  builds available if and
  46.    when they  become available  to us;  please note  that the variety of
  47.    "flavors" of UNIX and of hardware environments prevents us from abso-
  48.    lutely guaranteeing full "turn key" installations.
  49.  
  50.  
  51.    NASIRC will continue to monitor the situation  and will post additional
  52.    information as appropriate.  If you have any questions on this subject,
  53.    feel free to contact us at any of the venues listed below.
  54.  
  55.      =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  56.         NASIRC ACKNOWLEDGES: John Ray and Todd Welch of the NASA Ames
  57.       Research Center for forwarding this information, and John Howells
  58.       of NASA-Ames for creating the various builds of sendmail 8.6.8 on
  59.                               very short notice.
  60.      =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  61.  
  62.       ===============================================================
  63.         For further assistance, please contact the NASIRC Helpdesk:
  64.            Phone: 1-800-7-NASIRC             Fax: 1-301-441-1853
  65.                      Internet Email: nasirc@nasa.gov
  66.             24 Hour/Emergency Pager: 1-800-759-7243/Pin:2023056
  67.                         STU III: 1-301-982-5480
  68.       ===============================================================
  69.       This bulletin may be forwarded without restriction to sites and 
  70.              system administrators within the NASA community.
  71.  
  72.       The NASIRC online archive system is available via anonymous ftp.
  73.       Just ftp to nasirc.nasa.gov and login as anonymous.  You will be
  74.       required to enter your valid e-mail address.  Once there you can
  75.       access the following information:
  76.  
  77.           /bulletins          ! contains NASIRC bulletins
  78.           /information        ! contains various informational files
  79.           /toolkits           ! contains automated toolkit software
  80.        
  81.       Information maintained in these directories is updated on a con-
  82.       tinuous basis  with relevant software  and information.  Contact 
  83.       the NASIRC Helpdesk for more information or assistance with tool
  84.       kits or security measures.
  85.  
  86.                              -----------------
  87.  
  88.      PLEASE NOTE: Users outside of the NASA community  may receive NASIRC
  89.      bulletins. If you are not part of the NASA community, please contact
  90.      your agency's response team to report incidents.  Your agency's team
  91.      will coordinate  with NASIRC,  who will  ensure the  proper internal
  92.      NASA team(s)  are notified.   NASIRC is  a member  of  the  Forum of
  93.      Incident Response and Security Teams (FIRST), a world-wide organiza-
  94.      tion which provides for coordination between incident response teams
  95.      in handling computer-security-related issues.  You can obtain a list
  96.      of FIRST  member organizations  and their  constituencies by sending
  97.      email to   docserver@first.org   with an empty  "subject" line and a
  98.      message body containing the line "send first-contacts".
  99.  
  100.  
  101.