home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / INET / SCC / 9401 < prev    next >
Encoding:
Text File  |  1994-11-09  |  15.5 KB  |  369 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9401                  DISA Defense Communications System
  4. January 7, 1994          Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11.   Coordination Center) under DISA contract as a means of communicating
  12.   information on network and host security exposures, fixes, and concerns
  13.   to security and management personnel at DDN facilities.  Back issues may
  14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15.   using login="anonymous" and password="guest".  The bulletin pathname is
  16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9302).
  18. **************************************************************************
  19. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  20. !                                                                       !
  21. !     The following important  advisory was  issued by the Computer     !
  22. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  23. !     via the Defense Information Systems Agency's Security             !
  24. !     Coordination Center  distribution  system  as a  means  of        !
  25. !     providing  DDN subscribers with useful security information.      !
  26. !                                                                       !
  27. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  28. =============================================================================
  29. CA-93:16a                        CERT Advisory
  30.                                 January 7, 1994
  31.                              Sendmail Vulnerability
  32.           **Supplementary advisory containing vendor patch information**
  33. -----------------------------------------------------------------------------
  34. The CERT Coordination Center is continuing to work with vendors on 
  35. eliminating a group of vulnerabilities in sendmail(8).  These vulnerabilities
  36. include those related to mailing to a program, mailing to a file, and a 
  37. few others.
  38.  
  39. This advisory provides information about new patches available from
  40. some vendors.  At the time that CA-93:16.sendmail.vulnerability was published
  41. a set of workarounds were provided. These workarounds should still be used
  42. until vendor patches are available.  Once the vendor patches have been
  43. installed, sites can either choose to continue to use smrsh or uninstall it.
  44.  
  45. CERT will maintain an accompanying file, CA-93:16a.README. This file will
  46. contain information about sendmail patches and will be updated whenever new
  47. patches or information becomes available.
  48.  
  49. CERT has provided detailed information about all known vulnerabilities
  50. in sendmail to all of our vendor contacts.  If your vendor is unaware of
  51. the problems, or if they have any questions, please have them contact us.
  52.  
  53. A brief listing of currently available patches as well as information on 
  54. upcoming patches is provided below.  Vendor-supplied information concerning 
  55. these patches is included in the CA-93:16a.README file. For some vendors, 
  56. the CA-93:16a.README file includes a pointer to the full text of the 
  57. vendor's own advisory concerning sendmail.  The current version of 
  58. CA-93:16a.README is included in appendix A for your convenience.
  59.  
  60. Vendor                          Patch Status
  61. ------                          ------------
  62.  
  63. sendmail 8.6.4                  available
  64. IDA sendmail                    available
  65. BSDI                            available
  66. Data General Corporation        available
  67. Digital Equipment Corporation   available
  68. Hewlett-Packard Company         available
  69. IBM                             available
  70. NeXT, Inc.                      available soon
  71. The Santa Cruz Operation        available soon
  72. Sequent Computer Systems        available
  73. Solbourne                       available
  74. Sony Corporation                available
  75. Sun Microsystems, Inc.          available
  76.  
  77. -----------------------------------------------------------------------------
  78. The CERT Coordination Center wishes to thank all the vendors for 
  79. recognizing the importance of these vulnerabilities and responding
  80. to them.
  81. ---------------------------------------------------------------------------
  82.  
  83. If you believe that your system has been compromised, contact the CERT
  84. Coordination Center or your representative in Forum of Incident
  85. Response and Security Teams (FIRST).
  86.  
  87. Internet E-mail: cert@cert.org
  88. Telephone: 412-268-7090 (24-hour hotline)
  89.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  90.            and are on call for emergencies during other hours.
  91.  
  92. CERT Coordination Center
  93. Software Engineering Institute
  94. Carnegie Mellon University
  95. Pittsburgh, PA 15213-3890
  96.  
  97. Past advisories, information about FIRST representatives, and other
  98. information related to computer security are available for anonymous 
  99. FTP from info.cert.org.
  100.  
  101.  
  102.  
  103. **Notice** The following Appendix contains the version of the 
  104. CA-93:16a.README file that was current at the time of the release of
  105. this advisory. If you are retrieving this advisory after January 7, 1994,
  106. please ensure that you also retrieve the most recent version of the
  107. CA-93:16a.README file (found in the same directory on info.cert.org).
  108.  
  109. Appendix A: CA-93:16a.README
  110.  
  111. CA-93:16a.README
  112. Rev. January 7, 1994
  113.  
  114. This file is a supplement to the CERT Advisory CA-93:16a of January 7, 1994,
  115. and will be updated as additional information becomes available.
  116.  
  117. The following is vendor-supplied information.  Please notice that
  118. some entries provide pointers to vendor advisories. For more up-to-date 
  119. information, contact your vendor. 
  120.  
  121. -------------
  122. Eric Allman, 8.6.4
  123.  
  124.         Version 8.6.4 is available for anonymous FTP from ftp.cs.berkeley.edu
  125.         in the "ucb/sendmail" directory.
  126.  
  127.                       Standard Unix Sum
  128.         sendmail.8.6.4.base.tar.Z:       07718 428
  129.  
  130.                         System V Sum
  131.         64609 856 sendmail.8.6.4.base.tar.Z
  132.  
  133.                         MD5 Checksum
  134.         MD5 (sendmail.8.6.4.base.tar.Z) = 59727f2f99b0e47a74d804f7ff654621
  135.  
  136. -------------
  137.  
  138. Paul Pomes, IDA:
  139.  
  140.         A new release is available for anonymous FTP from vixen.cso.uiuc.edu
  141.         as "pub/sendmail-5.67b+IDA-1.5.tar.gz".
  142.  
  143.                      Standard Unix Sum
  144.         sendmail-5.67b+IDA-1.5.tar.gz:  17272 1341
  145.  
  146.                         System V Sum
  147.         30425 2682 sendmail-5.67b+IDA-1.5.tar.gz
  148.  
  149.                         MD5 Checksum
  150.         MD5 (sendmail-5.67b+IDA-1.5.tar.gz) = a9b8e17fd6d3e52739d2195cead94300
  151.  
  152. -------------
  153.  
  154. BSDI
  155.  
  156.         BSDI can supply either an easy-to-install port of the smrsh patch from
  157.         CERT or a port of sendmail-8.6.4 (contact BSDI Customer Support for
  158.         information in obtaining either of these solutions).  In future
  159.         releases, BSDI will ship the newer sendmail that is not affected
  160.         by these problems.  Releases affected by this advisory: BSD/386 V1.0.
  161.  
  162.         BSDI Contact Information:
  163.                 BSDI Customer Support
  164.                 Berkeley Software Design, Inc.
  165.                 7759 Delmonico Drive
  166.                 Colorado Springs, CO 80919
  167.                 Toll Free: +1 800 ITS BSD8 (+1 800 486 2738)
  168.                 Phone: +1 719 260 8114
  169.                 Fax: +1 719 598 4238
  170.                 Email: support@bsdi.com
  171.  
  172. -------------
  173.  
  174. Data General Corporation
  175.  
  176.         Patches are available from dg-rtp.rtp.dg.com (128.222.1.2) in
  177.         the directory "deliver/sendmail":
  178.  
  179.         Rev              Patch Number            Sys V Checksum
  180.         ------------    ------------------      --------
  181.         5.4.2           tcpip_5.4.2.p14         39298 512
  182.         MD5 (tcpip_5.4.2.p14) = c80428e3b791d4e40ebe703ba5bd249c
  183.  
  184.         5.4R2.01        tcpip_5.4R2.01.p12      65430 512
  185.         MD5 (tcpip_5.4R2.01.p12) = 9c84cfdb4d79ee22224eeb713a414996
  186.  
  187.         5.4R2.10        tcpip_5.4R2.10.p05      42625 512
  188.         MD5 (tcpip_5.4R2.10.p05) = 2d74586ff22e649354cc6a02f390a4be
  189.  
  190.         These patches are loadable via the "syadm" utility and installation
  191.         instructions are included in the patch notes.
  192.  
  193.         Trusted versions of DG/UX will use the same patches as
  194.         their base version of DG/UX.  
  195.  
  196.         Customers with any questions about these patches should contact
  197.         their local SEs or Sales Representatives.
  198.  
  199. -------------
  200.  
  201. Digital Equipment Corporation
  202.  
  203.         Systems affected: ULTRIX Versions 4.3 (VAX), ULTRIX V4.3 & V4.3A (RISC),
  204.         DEC OSF/1 V1.2 & V1.3, using sendmail.  The following patches are 
  205.         available from your normal Digital support channel:
  206.  
  207.         ULTRIX V4.3 (VAX), V4.3 (RISC) or V4.3a (RISC):  CSCPAT #: CSCPAT_4044
  208.                                  OSF/1  V1.2 and  V1.3:  CSCPAT #: CSCPAT_4045
  209.  
  210.         *These fixes will be included in future releases of ULTRIX and DEC OSF/1
  211.  
  212.         Digital Equipment Corporation strongly urges Customers to upgrade
  213.         to a minimum of ULTRIX V4.3 or DEC OSF/1 V1.2, then apply the
  214.         Security kit to prevent this potential vulnerability.
  215.  
  216.         The full text of Digital's advisory can be found in 
  217.         /pub/vendors/dec/advisories/sendmail on info.cert.org.
  218.  
  219. -------------
  220.  
  221. Hewlett-Packard Company
  222.  
  223.         For HP/UX, the following patches are available:
  224.  
  225.                 PHNE_3369 (series 300/400, HP-UX 8.x), or
  226.                 PHNE_3370 (series 300/400, HP-UX 9.x), or
  227.                 PHNE_3371 (series 700/800, HP-UX 8.x), or
  228.                 PHNE_3372 (series 700/800, HP-UX 9.x), or
  229.                 modify the sendmail configuration file (releases of HP-UX
  230.                 prior to 8.0)
  231.  
  232.         These patches may be obtained from HP via FTP (this is NOT
  233.         anonymous FTP) or the HP SupportLine.  To obtain HP security
  234.         patches, you must first register with the HP SupportLine.
  235.         The registration instructions are available via
  236.         anonymous FTP at info.cert.org in the file
  237.         "pub/vendors/hp/supportline_and_patch_retrieval".
  238.  
  239.         The full text of Hewlett-Packard's advisory can be found in
  240.         /pub/vendors/hp/advisories/sendmail on info.cert.org.
  241.  
  242. -------------
  243.  
  244. IBM
  245.  
  246.         Patches for these problems can be ordered as APAR# ix40304 and
  247.         APAR# ix41354.  Ix40304 is available now and ix41354 will be
  248.         sent as soon as it is available.
  249.  
  250. -------------
  251.  
  252. NeXT, Inc.
  253.  
  254.         NeXT expects to have patches available soon.
  255.  
  256. -------------
  257.  
  258. The Santa Cruz Operation
  259.  
  260.         Support level Supplement (SLS) net379A, will soon be available
  261.         for the following platforms:
  262.  
  263.         SCO TCP/IP Release 1.2.0 for SCO UNIX or SCO XENIX
  264.         SCO TCP/IP Release 1.2.1 for SCO UNIX
  265.         SCO Open Desktop Release 2.0, 3.0
  266.         SCO Open Desktop Lite Release 3.0
  267.         SCO Open Server Network System, Release 3.0
  268.         SCO Open Server Enterprise System, Release 3.0
  269.  
  270.         This SLS is currently orderable from SCO Support for all customers
  271.         who have one of the above products registered. It will be available
  272.         in the near future.  Systems using MMDF as their mail system do
  273.         not need this SLS.
  274.  
  275. -------------
  276.  
  277. Sequent Computer Systems
  278.  
  279.         Versions 3.0.17 and greater of Dynix are vulnerable
  280.         as are versions 2.2 and 2.3 of the TCP package for PTX.
  281.  
  282.         Sequent customers should call the Sequent Hotline at
  283.         (800) 854-9969 and ask for the Sendmail Maintenance Release Tape.
  284.         Alternatively, ptx customers can upgrade to PTX/TCP/IP 
  285.         version 2.2.3 or 2.3.1 as appropriate.
  286.  
  287. -------------
  288.  
  289. Solbourne 
  290.  
  291.         Patch p93122301 is available from Solboune to fix the sendmail
  292.         problems.  This patch is equivalent to Sun patch 100377-08.
  293.         Customers may retrieve it via anonymous FTP from 
  294.         solbourne.solbourne.com in the pub/support/OS4.1B directory:
  295.  
  296.         Filename         BSD         SVR4
  297.                          Checksum    Checksum
  298.         ---------------  ---------   ---------
  299.         p93122301.tar.Z  63749 211   53951 421
  300.         MD5 (p93122301.tar.Z) = f7300f3ecfbbbfaa11a6695f42f14615
  301.  
  302.         It is also available by sending email to solis@solbourne.com
  303.         and specifying "get patches/4.1b p93122301" in the body of the
  304.         mail message.
  305.  
  306.         Earlier versions (4.1A.*) are no longer supported. The 4.1B
  307.         patch may well work on 4.1A.* systems but this has not been tested.
  308.         If you have any questions please call the SOURCE at 1-800-447-2861 or
  309.         send email to support@solbourne.com.
  310.  
  311.         The full text of Solbourne's advisory can be found in
  312.         /pub/vendors/solbourne/advisories/sendmail on info.cert.org.
  313.  
  314. ---------------
  315.  
  316. Sony Corporation
  317.  
  318.         These vulnerabilities have been fixed in NEWS-OS 6.0.1.
  319.         A patch is available for NEWS-OS 4.x.  Customers should
  320.         contact their dealers for any additional information.
  321.  
  322. ---------------
  323.  
  324. Sun Microsystems, Inc.
  325.  
  326.         Sun has made patches for sendmail available as described in
  327.         their SUN MICROSYSTEMS SECURITY BULLETIN: #00125, 12/23/93.
  328.         These patches can be found in the 
  329.         /systems/sun/sun-dist directory on ftp.uu.net:
  330.  
  331.         System       Patch ID    Filename        BSD         SVR4
  332.                                                  Checksum    Checksum
  333.         ------       --------   ---------------  ---------   ---------
  334.         SunOS 4.1.x  100377-08  100377-08.tar.Z  05320 755   58761 1510
  335.         Solaris 2.1  100840-06  100840-06.tar.Z  59489 195   61100 390
  336.         Solaris 2.2  101077-06  101077-06.tar.Z  63001 179   28185 358
  337.         Solaris 2.3  101371-03  101371-03.tar.Z  27539 189   51272 377
  338.  
  339.         MD5 checksums are:
  340.         MD5 (100377-08.tar.Z) = 8e8a14c0a46b6c707d283cacd85da4f1
  341.         MD5 (100840-06.tar.Z) = 7d8d2c7ec983a58b4c6a608bf1ff53ec
  342.         MD5 (101077-06.tar.Z) = 78e165dec0b8260ca6a5d5d9bdc366b8
  343.         MD5 (101371-03.tar.Z) = 687d0f3287197dee35941b9163812b56
  344.  
  345.         A patch for x86 based systems will be forthcoming as patch 101352-02.
  346.  
  347.         4.1 sites installing these patches may require sites to modify
  348.         their configuration files slightly.  Full details are given in
  349.         the Sun advisory.
  350.  
  351.         The full text of Sun Microsystems's advisory can be found in
  352.         /pub/vendors/sun/advisories/sendmail on info.cert.org.
  353.  
  354. ==========================End of Advisory=====================================
  355.  
  356. ****************************************************************************
  357. *                                                                          *
  358. *    The point of contact for MILNET security-related incidents is the     *
  359. *    Security Coordination Center (SCC).                                   *
  360. *                                                                          *
  361. *               E-mail address: SCC@NIC.DDN.MIL                            *
  362. *                                                                          *
  363. *               Telephone: 1-(800)-365-3642                                *
  364. *                                                                          *
  365. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  366. *    Monday through Friday except on federal holidays.                     *
  367. *                                                                          *
  368. ****************************************************************************
  369.