home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / INET / SCC / 9512 < prev    next >
Encoding:
Text File  |  1995-03-10  |  11.0 KB  |  251 lines
  1. **************************************************************************
  2. Security Bulletin 9512                  DISA Defense Communications System
  3. March 9, 1995            Published by: DDN Security Coordination Center
  4.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  10.   Coordination Center) under DISA contract as a means of communicating
  11.   information on network and host security exposures, fixes, and concerns
  12.   to security and management personnel at DDN facilities.  Back issues may
  13.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  14.   using login="anonymous" and password="guest".  The bulletin pathname is
  15.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  16.   and "nn" is a bulletin number, e.g. scc/ddn-security-9510).
  17. **************************************************************************
  18. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  19. !                                                                       !
  20. !     The following important  advisory was  issued by the Computer     !
  21. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  22. !     via the Defense Information Systems Agency's Security             !
  23. !     Coordination Center  distribution  system  as a  means  of        !
  24. !     providing  DDN subscribers with useful security information.      !
  25. !                                                                       !
  26. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  27.  
  28. =============================================================================
  29. CERT Vendor-Initiated Bulletin VB-95:02
  30. March 8, 1995
  31.  
  32. Topic: IRIX 5.2, 6.0, 6.0.1 Desktop Permissions Tool 
  33. Source: Silicon Graphics Inc.
  34.  
  35. To aid in the wide distribution of essential security information, the CERT
  36. Coordination Center is forwarding the following information from Silicon
  37. Graphics Inc. (SGI). SGI urges you to act on this information as soon as
  38. possible. SGI contact information is included in the forwarded text below;
  39. please contact them if you have any questions or need further information.
  40.  
  41.  
  42. ========================FORWARDED TEXT STARTS HERE============================
  43. _______________________________________________________________________________
  44.                 Silicon Graphics Inc. Security Advisory
  45.  
  46.         Title: IRIX 5.2, 6.0, 6.0.1 Desktop Permissions Tool
  47.                 Number:         19950301-01-P373
  48.                 Date:           March 3, 1995
  49. _______________________________________________________________________________
  50.  
  51. Silicon Graphics provides this information freely to the SGI community
  52. for its consideration, interpretation and implementation.   Silicon Graphics
  53. recommends that this information be acted upon as soon as possible.
  54.  
  55. Silicon Graphics will not be liable for any consequential damages arising
  56. from the use of, or failure to use or use properly, any of the instructions
  57. or information in this Security Advisory.
  58. _______________________________________________________________________________
  59.  
  60.  
  61. A vulnerability has been discovered in the IRIX 5.2, 6.0, and 6.0.1 operating
  62. systems regarding the permissions tool under the IRIX desktop environment.
  63. Normally, this tool is used by users to modify the permissions on their files
  64. and files they are privileged for.  Under certain conditions, a user may be
  65. able to modify the permissions for any file.  This is identified as SGI
  66. SCR # 265071.
  67.  
  68. SGI Engineering has investigated this issue and recommends the following
  69. steps for neutralizing the exposure.  It is HIGHLY RECOMMENDED that these
  70. measures be done on ALL SGI systems running IRIX 5.2, 6.0, and 6.0.1 .
  71. This issue is corrected in 5.3 of IRIX and will be corrected in future
  72. releases of IRIX.
  73.  
  74. - --------------------------
  75. - --- Immediate Solution ---
  76. - --------------------------
  77.  
  78. The most immediate solution for this issue is to remove the setuid/setgid
  79. bits on /usr/lib/permissions, or to remove the tool entirely.  Removing the
  80. setuid/setgid bits will limit the tool to only function on files owned by
  81. the user using the tool.
  82.  
  83.         1) Become the root user on the system.
  84.  
  85.                 % /bin/su -
  86.                 Password:
  87.                 #
  88.  
  89.         2) Change the unix permissions level on the desktop
  90.         permissions program.
  91.  
  92.  
  93.                 # chmod u-s /usr/lib/desktop/permissions
  94.                 # chmod g-s /usr/lib/desktop/permissions
  95.  
  96.         3) Return to previous user.
  97.  
  98.                 # exit
  99.                 %
  100.  
  101.  
  102.  
  103. - --------------------------
  104. - --- Long Term Solution ---
  105. - --------------------------
  106.  
  107. *** IRIX 5.0.x, 5.1.x ****
  108.  
  109. The versions 5.0.x and 5.1.x of IRIX were limited hardware, specific
  110. releases and have since been obsoleted by later versions of IRIX.  For
  111. supportability reasons, upgrading to at least IRIX 5.2 is recommended
  112. as a first step for all problem resolution.   IRIX 5.0.x, 5.1.x ARE
  113. NOT subject to this vulnerability.
  114.  
  115.  
  116.  
  117. **** IRIX 5.2, 6.0, 6.0.1 ****
  118.  
  119.         >>>> IRIX 5.3 IS NOT SUBJECT TO THIS VULNERABILITY. <<<<
  120.  
  121. For the IRIX operating system versions 5.2, 6.0 and 6.0.1, an inst-able
  122. patch has been generated and made available via anonymous ftp and/or your
  123. service/support provider.  The patch is number 373 and will install on
  124. IRIX 5.2, 6.0 and 6.0.1 .
  125.  
  126. - -NOTE- Inst-able patches require a patch-aware inst program.  The stock
  127. 5.2 inst program with the base install is not patch-aware.  The 6.0
  128. and 6.0.1 inst programs are.  A patch-aware inst program for IRIX 5.2 is
  129. available as patch number 0, 34, or 84.  Any one of these may be used, with
  130. 84 the latest, most recommended, and available via your service provider
  131. or the usual SGI anonymous ftp sites.
  132.  
  133. The SGI anonymous ftp site is ftp.sgi.com (192.48.153.1).  Additionally,
  134. the alternative SGI anonymous ftp site, sgigate.sgi.com,  can be accessed
  135. to find the same files.  On each of these servers, patch 373 can be found
  136. in the following directories:
  137.  
  138.         ~ftp/Security
  139.  
  140.                 or
  141.  
  142.         ~ftp/Patches/5.2
  143.         ~ftp/Patches/6.0
  144.         ~ftp/Patches/6.0.1
  145.  
  146.                         ##### Checksums ####
  147.  
  148. The actual patch will be a tar file containing the following files:
  149.  
  150. Filename:                 patchSG0000373
  151. Algorithm #1 (sum -r):    51249 1 patchSG0000373
  152. Algorithm #2 (sum):       21641 1 patchSG0000373
  153. MD5 checksum:             40A604013A05C2521152ED4B51C5D9A5
  154.  
  155. Filename:                 patchSG0000373.desktop_eoe_sw
  156. Algorithm #1 (sum -r):    09134 88 patchSG0000373.desktop_eoe_sw
  157. Algorithm #2 (sum):       63013 88 patchSG0000373.desktop_eoe_sw
  158. MD5 checksum:             D74F9BDED3D51E9D28666CADF1B31945
  159.  
  160. Filename:                 patchSG0000373.idb
  161. Algorithm #1 (sum -r):    50435 1 patchSG0000373.idb
  162. Algorithm #2 (sum):       41363 1 patchSG0000373.idb
  163. MD5 checksum:             790E9A47909BC32D8E9FCE14EA4077D8
  164.  
  165.  
  166.  
  167.  
  168.  
  169. - ------------------------------------
  170. - --- Further Information/Contacts ---
  171. - ------------------------------------
  172.  
  173. For obtaining security information, patches or assistance, please
  174. contact your SGI support provider.
  175.  
  176. If there are questions about this document, email can be sent to
  177. cse-security-alert@csd.sgi.com .
  178.  
  179. For reporting *NEW* SGI security issues, email can be sent to
  180. security-alert@sgi.com .
  181.  
  182. =========================FORWARDED TEXT ENDS HERE=============================
  183.  
  184.  
  185. CERT bulletins, CERT advisories, information about FIRST representatives, and
  186. other information related to computer security are available for anonymous FTP
  187. from info.cert.org. 
  188.  
  189. CERT advisories and bulletins are also posted on the USENET newsgroup
  190. comp.security.announce. If you would like to have future advisories and
  191. bulletins mailed to you or to a mail exploder at your site, please send mail
  192. to cert-advisory-request@cert.org.
  193.  
  194. If you wish to send sensitive incident or vulnerability information to
  195. CERT staff by electronic mail, we strongly advise that the e-mail be
  196. encrypted.  The CERT Coordination Center can support a shared DES key, PGP
  197. (public key available via anonymous FTP on info.cert.org), or PEM (contact
  198. CERT staff for details).
  199.  
  200. Internet E-mail: cert@cert.org
  201. Telephone: +1 412-268-7090 (24-hour hotline)
  202.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  203.            and are on call for emergencies during other hours.
  204. Fax: +1 412-268-6989
  205.  
  206. CERT Coordination Center
  207. Software Engineering Institute
  208. Carnegie Mellon University
  209. Pittsburgh, PA 15213-3890
  210. USA
  211.  
  212.  
  213.  
  214. CERT is a service mark of Carnegie Mellon University.
  215.  
  216. ****************************************************************************
  217. *                                                                          *
  218. *    The point of contact for MILNET security-related incidents is the     *
  219. *    Security Coordination Center (SCC).                                   *
  220. *                                                                          *
  221. *               E-mail address: SCC@NIC.DDN.MIL                            *
  222. *                                                                          *
  223. *               Telephone: 1-(800)-365-3642                                *
  224. *                                                                          *
  225. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  226. *    Monday through Friday except on federal holidays.                     *
  227. *                                                                          *
  228. ****************************************************************************
  229.  
  230. PLEASE NOTE: Some users outside of the DOD computing communities may receive
  231. DDN Security bulletins.  If you are not part of  the DOD community, please
  232. contact your agency's incident response team to report incidents.  Your 
  233. agency's team will coordinate with DOD.  The Forum of Incident Response and
  234. Security Teams (FIRST) is a world-wide organization.  A list of FIRST member
  235. organizations and their constituencies can be obtained by sending email to
  236. docserver@first.org with an empty subject line and a message body containing
  237. the line: send first-contacts.
  238.  
  239. This document was prepared as an service to the DOD community.  Neither the 
  240. United States Government nor any of their employees, makes any warranty, 
  241. expressed or implied, or assumes any legal liability or responsibility for 
  242. the accuracy, completeness, or usefulness of any information, product, or 
  243. process disclosed, or represents that its use would not infringe privately 
  244. owned rights.  Reference herein to any specific commercial products, process,
  245. or service by trade name, trademark manufacturer, or otherwise, does not 
  246. necessarily constitute or imply its endorsement, recommendation, or favoring
  247. by the United States Government.  The opinions of the authors expressed herein
  248. do not necessarily state or reflect those of the United States Government,
  249. and shall not be used for advertising or product endorsement purposes.
  250.  
  251.