home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / INET / SCC / 9421 < prev    next >
Encoding:
Text File  |  1994-11-09  |  9.0 KB  |  187 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9421                 DISA Defense Communications System
  4. June 6, 1994             Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11.   Coordination Center) under DISA contract as a means of communicating
  12.   information on network and host security exposures, fixes, and concerns
  13.   to security and management personnel at DDN facilities.  Back issues may
  14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15.   using login="anonymous" and password="guest".  The bulletin pathname is
  16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9302).
  18. **************************************************************************
  19.  
  20. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  21. !                                                                       !
  22. !     The following important  advisory was  issued by the Computer     !
  23. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  24. !     via the Defense Information Systems Agency's Security             !
  25. !     Coordination Center  distribution  system  as a  means  of        !
  26. !     providing  DDN subscribers with useful security information.      !
  27. !                                                                       !
  28. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  29.  
  30. =============================================================================
  31. CA-94:10                         CERT Advisory
  32.                                  June 3, 1994
  33.                            IBM AIX bsh Vulnerability
  34. -----------------------------------------------------------------------------
  35.  
  36. The CERT Coordination Center has learned of a vulnerability in the
  37. batch queue (bsh) of IBM AIX systems running versions prior to and
  38. including AIX 3.2.
  39.  
  40. CERT recommends disabling the batch queue by following the workaround
  41. instructions in Section III below.  Section III also includes
  42. information on how to obtain fixes from IBM if the bsh queue
  43. functionality is required by remote systems.
  44.  
  45. As we receive additional information relating to this advisory, we
  46. will place it, along with any clarifications, in a CA-94:10.README
  47. file. CERT advisories and their associated README files are available
  48. by anonymous FTP from info.cert.org. We encourage you to check the
  49. README files regularly for updates on advisories that relate to your
  50. site.
  51.  
  52. -----------------------------------------------------------------------------
  53.  
  54. I.   Description
  55.  
  56.      The queueing system on IBM AIX includes a batch queue, "bsh",
  57.      which is turned on by default in /etc/qconfig on all versions of
  58.      AIX 3 and earlier.
  59.  
  60. II.  Impact 
  61.  
  62.      If network printing is enabled, remote and local users can gain
  63.      access to a privileged account.
  64.  
  65. III. Solution
  66.  
  67.      In the next release of AIX, the bsh queue will be turned off by
  68.      default.  CERT recommends that the bsh queue be turned off using
  69.      the workaround described in Section A below unless there is an
  70.      explicit need to support this functionality for remote hosts.  If
  71.      this functionality must be supported, IBM provides fixes as
  72.      outlined in Sections B and C below.  For questions concerning
  73.      these workarounds or fixes, please contact IBM at the number
  74.      provided below.
  75.  
  76.      A. Workaround 
  77.  
  78.         Disable the bsh queue by following one of the two procedures
  79.         outlined below:
  80.  
  81.         1. As root, from the command line, enter:
  82.            # chque -qbsh -a"up = FALSE"
  83.         
  84.         2. From SMIT, enter:
  85.            - Spooler
  86.            - Manage Local Printer Subsystem
  87.            - Change/Show Characteristics of a Queue
  88.               select bsh
  89.            - Activate the Queue
  90.               select no
  91.  
  92.      B. Emergency fix
  93.  
  94.         Obtain and install the emergency fix for the version(s) of AIX
  95.         used at your site.  Fixes for the various levels of AIX are
  96.         available by anonymous FTP from software.watson.ibm.com.  The
  97.         files are located in /pub/aix/bshfix.tar.Z in compressed tar
  98.         format.  Installation instructions are included in the README
  99.         file included as part of the tar file.
  100.  
  101.         The directory /pub/aix contains the latest available emergency
  102.         fix for APAR IX44381.  As updates become available, any new
  103.         versions will be placed in this directory with the name
  104.         bshfix<#>.tar.Z with <#> being incremented for each update.
  105.         See the README.FIRST file in that directory for details.  
  106.  
  107.         IBM may remove this emergency fix file without prior notice if
  108.         flaws are reported.  Due to the changing nature of these
  109.         files, no checksum information is available.
  110.  
  111.      C. Official fix
  112.  
  113.         The official fix for this problem can be ordered as APAR
  114.         IX44381.
  115.  
  116.         To order APARs from IBM in the U.S., call 1-800-237-5511 and
  117.         ask that it be shipped to you as soon as it is available.  To
  118.         obtain APARs outside of the U.S., contact your local IBM
  119.         representative.
  120.  
  121. ---------------------------------------------------------------------------
  122. The CERT Coordination Center wishes to thank Gordon C. Galligher of
  123. Information Resources, Inc.  for reporting this problem and IBM
  124. Corporation for their support in responding to this problem.
  125. ---------------------------------------------------------------------------
  126.  
  127. If you believe that your system has been compromised, contact the CERT
  128. Coordination Center or your representative in Forum of Incident
  129. Response and Security Teams (FIRST).
  130.  
  131. If you wish to send sensitive incident or vulnerability information to
  132. CERT via electronic mail, CERT strongly advises that the e-mail be
  133. encrypted.  CERT can support a shared DES key, PGP (public key
  134. available via anonymous FTP on info.cert.org), or PEM (contact CERT
  135. for details).
  136.  
  137. Internet E-mail: cert@cert.org
  138. Telephone: 412-268-7090 (24-hour hotline)
  139.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  140.            and are on call for emergencies during other hours.
  141.  
  142. CERT Coordination Center
  143. Software Engineering Institute
  144. Carnegie Mellon University
  145. Pittsburgh, PA 15213-3890
  146. USA
  147.  
  148. Past advisories and their associated README files, information about FIRST
  149. representatives, and other information related to computer security are
  150. available for anonymous FTP from info.cert.org.
  151.  
  152.  
  153. ****************************************************************************
  154. *                                                                          *
  155. *    The point of contact for MILNET security-related incidents is the     *
  156. *    Security Coordination Center (SCC).                                   *
  157. *                                                                          *
  158. *               E-mail address: SCC@NIC.DDN.MIL                            *
  159. *                                                                          *
  160. *               Telephone: 1-(800)-365-3642                                *
  161. *                                                                          *
  162. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  163. *    Monday through Friday except on federal holidays.                     *
  164. *                                                                          *
  165. ****************************************************************************
  166.  
  167. PLEASE NOTE: Many users outside of the DOD computing communities receive
  168. DDN Security bulletins.  If you are not part of DOD community, please
  169. contact your agency's incident response team to report incidents.  Your 
  170. agency's team will coordinate with DOD.  The Forum of Incident Response and
  171. Security Teams (FIRST) is a world-wide organization.  A list of FIRST member
  172. organizations and their constituencies can be obtained by sending email to
  173. docserver@first.org with an empty subject line and a message body containing
  174. the line: send first-contacts.
  175.  
  176. This document was prepared as an service to the DOD community.  Neither the 
  177. United States Government nor any of their employees, makes any warranty, 
  178. expressed or implied, or assumes any legal liability or responsibility for 
  179. the accuracy, completeness, or usefulness of any information, product, or 
  180. process disclosed, or represents that its use would not infringe privately 
  181. owned rights.  Reference herein to any specific commercial products, process,
  182. or service by trade name, trademark manufacturer, or otherwise, does not 
  183. necessarily constitute or imply its endorsement, recommendation, or favoring
  184. by the United States Government.  The opinions of the authors expressed herein
  185. do not necessarily state or reflect those of the United States Government, 
  186. and shall not be used for advertising or product endorsement purposes.
  187.