home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / INET / SCC / 9506 < prev    next >
Encoding:
Text File  |  1995-02-16  |  10.8 KB  |  195 lines
  1. Security Bulletin 9506                  DISA Defense Communications System
  2. February 15, 1995         Published by: DDN Security Coordination Center
  3.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  4.  
  5.                         DEFENSE  DATA  NETWORK
  6.                           SECURITY  BULLETIN
  7.  
  8.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  9.   Coordination Center) under DISA contract as a means of communicating
  10.   information on network and host security exposures, fixes, and concerns
  11.   to security and management personnel at DDN facilities.  Back issues may
  12.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  13.   using login="anonymous" and password="guest".  The bulletin pathname is
  14.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  15.   and "nn" is a bulletin number, e.g. scc/ddn-security-9505).
  16. **************************************************************************
  17.  + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  18.  | The following important  advisory was  issued by the Department of    | 
  19.  | Energy's Computer Incident Advisory Capability (CIAC), and is being   |
  20.  | relayed unedited via the Defense Information Systems Agency's         |
  21.  | Security Coordination Center  distribution  system  as a  means       |
  22.  | of providing  DDN subscribers with useful security information.       |
  23.  + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  24.             _____________________________________________________
  25.                        The U.S. Department of Energy
  26.                     Computer Incident Advisory Capability
  27.                            ___  __ __    _     ___
  28.                           /       |     /_\   /
  29.                           \___  __|__  /   \  \___
  30.             _____________________________________________________
  31.      
  32.                                ADVISORY NOTICE
  33.      
  34.                         Unix NCSA httpd Vulnerability
  35.      
  36. February 14, 1995 1030 PST                                        Number F-11 
  37. _____________________________________________________________________________
  38.      
  39. PROBLEM:       A vulnerability has been discovered in the NCSA WWW server
  40.                software (httpd).
  41. PLATFORMS:     Unix systems running NCSA httpd version 1.3. 
  42. DAMAGE:        Remote users may gain unauthorized access. 
  43. SOLUTION:      Implement workaround as described below.
  44. _____________________________________________________________________________
  45.      
  46. VULNERABILITY  This vulnerability, along with an automated exploitation 
  47. ASSESSMENT:    script, has been announced in public forums on the Internet.
  48.                CIAC recommends that sites install the workaround on affected 
  49.                systems as soon as possible.
  50. _____________________________________________________________________________
  51.      
  52.           Critical Information about the NCSA httpd Vulnerability
  53.      
  54. CIAC has learned of a serious vulnerability in the NCSA WWW server software, 
  55. httpd.  By sending a carefully constructed request to the WWW server, an 
  56. intruder can cause an internal buffer overflow and push arbitrary 
  57. instructions onto the program stack.  These new instructions may allow the 
  58. intruder unauthorized access to the WWW server.
  59.      
  60. Until official patches are available from NCSA, CIAC recommends the following 
  61. temporary fix be installed.  In the file httpd.h, change the string length 
  62. definitions from:
  63.      
  64.       /* The default string lengths */
  65.       #define MAX_STRING_LEN 256
  66.       #define HUGE_STRING_LEN 8192
  67.      
  68. to:
  69.      
  70.       /* The default string lengths */
  71.       #define HUGE_STRING_LEN 8192
  72.       #define MAX_STRING_LEN  HUGE_STRING_LEN
  73.      
  74. Then rebuild, install, and restart the new httpd server.
  75.      
  76. It is likely that these attacks will generate unusual server log entries.  
  77. The httpd access_log file should be examined for unusual requests, especially 
  78. those containing control characters.
  79.      
  80. Note that while this workaround addresses the vulnerability currently being 
  81. exploited, there are likely to be other similar vulnerabilities present in 
  82. this and other WWW server software.  To lessen the chance of compromise, it 
  83. is strongly recommended that WWW servers run as unprivileged users (e.g. 
  84. user "nobody") and that they be locked into a restricted filesystem via the 
  85. chroot() system call.  For more information, please see CIAC Document 2308, 
  86. "Securing Internet Information Servers," which is available via anonymous 
  87. FTP from ciac.llnl.gov in the directory /pub/ciac/ciacdocs/.
  88.      
  89. _____________________________________________________________________________
  90.      
  91. CIAC wishes to acknowledge the contributions of the DFN-CERT in the 
  92. construction of this bulletin.
  93. _____________________________________________________________________________
  94.      
  95. For emergencies and off-hour assistance, DOE and DOE contractor sites can 
  96. contact CIAC 24-hours a day via an integrated voicemail and SKYPAGE number. 
  97. To use this service, dial 1-510-422-8193 or 1-800-759-7243 (SKYPAGE). The 
  98. primary SKYPAGE PIN number, 8550070 is for the CIAC duty person. A second 
  99. PIN, 8550074 is for the CIAC Project Leader.  CIAC's FAX number is 
  100. 510-423-8002, and the STU-III number is 510-423-2604.  Send E-mail to 
  101. ciac@llnl.gov.
  102.      
  103. Previous CIAC notices, anti-virus software, and other information are 
  104. available on the Internet via anonymous FTP from ciac.llnl.gov (IP address 
  105. 128.115.19.53).
  106.      
  107. CIAC has several self-subscribing mailing lists for electronic publications: 
  108. 1.  CIAC-BULLETIN for Advisories, highest priority - time critical
  109.     information, and Bulletins, important computer security information;
  110. 2.  CIAC-NOTES for Notes, a collection of computer security articles;
  111. 3.  SPI-ANNOUNCE for official news about Security Profile Inspector (SPI)
  112.     software updates, new features, distribution and availability;
  113. 4.  SPI-NOTES, for discussion of problems and solutions regarding the use of
  114.     SPI products.
  115.      
  116. Our mailing lists are managed by a public domain software package called 
  117. ListProcessor, which ignores E-mail header subject lines. To subscribe (add 
  118. yourself) to one of our mailing lists, send requests of the following form:
  119.      
  120. subscribe list-name LastName, FirstName PhoneNumber
  121.      
  122. as the E-mail message body, substituting CIAC-BULLETIN, CIAC-NOTES, 
  123. SPI-ANNOUNCE or SPI-NOTES for "list-name" and valid information for 
  124. "LastName" "FirstName" and "PhoneNumber."  Send to: ciac-listproc@llnl.gov 
  125. not to: ciac@llnl.gov
  126.      
  127. e.g.,
  128. subscribe ciac-notes O'Hara, Scarlett 404-555-1212 x36 
  129. subscribe ciac-bulletin O'Hara, Scarlett 404-555-1212 x36
  130.      
  131. You will receive an acknowledgment containing address and initial PIN, and 
  132. information on how to change either of them, cancel your subscription, or get 
  133. help.
  134. _____________________________________________________________________________
  135.      
  136. PLEASE NOTE: Many users outside of the DOE and ESnet computing communities 
  137. receive CIAC bulletins. If you are not part of these communities, please 
  138. contact your agency's response team to report incidents. Your agency's team 
  139. will coordinate with CIAC. The Forum of Incident Response and Security Teams 
  140. (FIRST) is a world-wide organization. A list of FIRST member organizations 
  141. and their constituencies can be obtained by sending E-mail to 
  142. first-request@first.org with an empty subject line and a message body 
  143. containing the line: send first-contacts.
  144.      
  145. This document was prepared as an account of work sponsored by an agency of 
  146. the United States Government. Neither the United States Government nor the 
  147. University of California nor any of their employees, makes any warranty, 
  148. expressed or implied, or assumes any legal liability or responsibility for 
  149. the accuracy, completeness, or usefulness of any information, product, or 
  150. process disclosed, or represents that its use would not infringe privately 
  151. owned rights. Reference herein to any specific commercial products, process, 
  152. or service by trade name, trademark manufacturer, or otherwise, does not 
  153. necessarily constitute or imply its endorsement, recommendation, or favoring 
  154. by the United States Government or the University of California. The views 
  155. and opinions of authors expressed herein do not necessarily state or reflect 
  156. those of the United States Government nor the University of California, and 
  157. shall not be used for advertising or product endorsement purposes.
  158.  
  159.  
  160. ****************************************************************************
  161. *                                                                          *
  162. *    The point of contact for MILNET security-related incidents is the     *
  163. *    Security Coordination Center (SCC).                                   *
  164. *                                                                          *
  165. *               E-mail address: SCC@NIC.DDN.MIL                            *
  166. *                                                                          *
  167. *               Telephone: 1-(800)-365-3642                                *
  168. *                                                                          *
  169. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  170. *    Monday through Friday except on federal holidays.                     *
  171. *                                                                          *
  172. ****************************************************************************
  173.  
  174. PLEASE NOTE: Some users outside of the DOD computing communities may receive
  175. DDN Security bulletins.  If you are not part of  the DOD community, please
  176. contact your agency's incident response team to report incidents.  Your 
  177. agency's team will coordinate with DOD.  The Forum of Incident Response and
  178. Security Teams (FIRST) is a world-wide organization.  A list of FIRST member
  179. organizations and their constituencies can be obtained by sending email to
  180. docserver@first.org with an empty subject line and a message body containing
  181. the line: send first-contacts.
  182.  
  183. This document was prepared as an service to the DOD community.  Neither the 
  184. United States Government nor any of their employees, makes any warranty, 
  185. expressed or implied, or assumes any legal liability or responsibility for 
  186. the accuracy, completeness, or usefulness of any information, product, or 
  187. process disclosed, or represents that its use would not infringe privately 
  188. owned rights.  Reference herein to any specific commercial products, process,
  189. or service by trade name, trademark manufacturer, or otherwise, does not 
  190. necessarily constitute or imply its endorsement, recommendation, or favoring
  191. by the United States Government.  The opinions of the authors expressed herein
  192. do not necessarily state or reflect those of the United States Government,
  193. and shall not be used for advertising or product endorsement purposes.
  194.  
  195.