home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / 9117 < prev    next >
Text File  |  1991-09-30  |  5KB  |  102 lines
  1. ***********************************************************************
  2. DDN Security Bulletin 9117       DCA DDN Defense Communications System
  3. 18 Sep 91               Published by: DDN Security Coordination Center
  4.                                      (SCC@NIC.DDN.MIL)  (800) 235-3155
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9. The DDN  SECURITY BULLETIN  is distributed  by the  DDN SCC  (Security
  10. Coordination Center) under  DCA contract as  a means of  communicating
  11. information on network and host security exposures, fixes, &  concerns
  12. to security & management personnel at DDN facilities.  Back issues may
  13. be  obtained  via  FTP  (or  Kermit)  from  NIC.DDN.MIL  [192.67.67.20]
  14. using login="anonymous" and password="guest".  The bulletin pathname is
  15. SCC:DDN-SECURITY-yynn (where "yy" is the year the bulletin is issued
  16. and "nn" is a bulletin number, e.g. SCC:DDN-SECURITY-9001).
  17. **********************************************************************
  18.  
  19.                   SunOS SPARC Integer Division Vulnerability
  20.  
  21. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  22. !                                                                       !
  23. !     The following important  advisory was  issued by the Computer     !
  24. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  25. !     via the Defense Communications Agency's Security Coordination     !
  26. !     Center  distribution  system  as a  means  of  providing  DDN     !
  27. !     subscribers with useful security information.                     !
  28. !                                                                       !
  29. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  30.  
  31.  
  32.  
  33. CA-91:16                        CERT Advisory
  34.                               September 18, 1991
  35.                     SunOS SPARC Integer Division Vulnerability
  36.  
  37. ---------------------------------------------------------------------------
  38.  
  39. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  40. received information concerning a vulnerability in Sun Microsystems,
  41. Inc. (Sun) integer division on their SPARC architecture.  This vulner-
  42. ability exists on all SPARC platforms (including sun4 and sun4c)
  43. for SunOS versions 4.1 and 4.1.1.
  44.  
  45. Sun has provided patches for this vulnerability. They are available through
  46. your local Sun Answer Centers worldwide as well as through anonymous
  47. ftp from the ftp.uu.net system (in the sun-dist directory).  
  48.  
  49. Fix                        Patch ID       Filename            Checksum
  50. /sys/sun{4,4c}/OBJ/crt.o   100376-01      100376-01.tar.Z     09989    11
  51.  
  52. Please note that Sun Microsystems sometimes updates patch files.  If
  53. you find that the checksum is different please contact Sun Microsystems
  54. or us for verification.
  55. ---------------------------------------------------------------------------
  56.  
  57. I.   Description
  58.  
  59.      A security vulnerability exists in the integer division
  60.      on the SPARC architecture that can be used to gain root
  61.      privileges.
  62.      
  63. II.  Impact
  64.  
  65.      Any user logged into the system can gain root access.
  66.  
  67. III. Solution 
  68.         
  69.      Replace /sys/sun{4,4c}/OBJ/crt.o and rebuild the kernel(s)
  70.      necessary for your host configuration(s).  Reboot each host
  71.      using the appropriate kernel.
  72.  
  73.      Please refer to the System and Network Administration
  74.      Manual for instructions on building and configuring a
  75.      new custom kernel.
  76.  
  77. ---------------------------------------------------------------------------
  78. The CERT/CC wishes to thank Gordon Irlam of the Department of Computer,
  79. University of Adelaide, Australia, for bringing this vulnerability to
  80. our attention and for his further assistance with the solution.  We
  81. also wish to thank Sun Microsystems for their prompt response to this 
  82. vulnerability.
  83. ---------------------------------------------------------------------------
  84.  
  85. If you believe that your system has been compromised, contact CERT/CC via
  86. telephone or e-mail.
  87.  
  88. Computer Emergency Response Team/Coordination Center (CERT/CC)
  89. Software Engineering Institute
  90. Carnegie Mellon University
  91. Pittsburgh, PA 15213-3890
  92.  
  93. Internet E-mail: cert@cert.sei.cmu.edu
  94. Telephone: 412-268-7090 24-hour hotline:
  95.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EDT,
  96.            on call for emergencies during other hours.
  97.  
  98. Past advisories and other computer security related information are available
  99. for anonymous ftp from the cert.sei.cmu.edu (192.88.209.5) system.
  100.  
  101.  
  102.