home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / 9223 < prev    next >
Text File  |  1992-09-27  |  10KB  |  217 lines
  1. **************************************************************************
  2. Security Bulletin 9223                  DISA Defense Communications System
  3. September 24, 1992          Published by: DDN Security Coordination Center
  4.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  10.   Coordination Center) under DISA contract as a means of communicating
  11.   information on network and host security exposures, fixes, and concerns
  12.   to security and management personnel at DDN facilities.  Back issues may
  13.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  14.   using login="anonymous" and password="guest".  The bulletin pathname is
  15.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  16.   and "nn" is a bulletin number, e.g. scc/ddn-security-9223).
  17. **************************************************************************
  18.  
  19. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  20. !                                                                       !
  21. !     The following important advisory was issued by the Computer       !
  22. !     Emergency Response Team (CERT) and is being relayed unedited      !
  23. !     via the Defense Information Systems Agency's Security             !
  24. !     Coordination Center distribution system as a means of             !
  25. !     providing DDN subscribers with useful security information.       !
  26. !                                                                       !
  27. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  28.  
  29. CA-92:16                        CERT Advisory
  30.                              September 22, 1992
  31.                          VMS Monitor Vulnerability
  32.  
  33. ---------------------------------------------------------------------------
  34.  
  35. The CERT Coordination Center has received information concerning a
  36. potential vulnerability with Digital Equipment Corporation's VMS
  37. Monitor.  This vulnerability is present in V5.0 through V5.4-2 but has
  38. been corrected in V5.4-3 through V5.5-1.  The Software Security
  39. Response Team at Digital has provided the following information
  40. concerning this vulnerability.  
  41.  
  42. NOTE: Digital suggests that customers who are unable to upgrade their
  43. systems implement the workaround described below.
  44.  
  45. For additional information, please contact your local Digital Equipment
  46. Corporation customer service representative.
  47.  
  48.  
  49.        Beginning of Text provided by Digital Equipment Corporation
  50. ==============================================================================
  51. SSRT-0200      PROBLEM: Potential Security Vulnerability Identified in Monitor
  52.                 SOURCE: Digital Equipment Corporation
  53.                 AUTHOR: Software Security Response Team - U.S.
  54.                         Colorado Springs USA
  55.  
  56.                PRODUCT:  VMS
  57. Symptoms Identified On:  VMS, Versions 5.0, 5.0-1, 5.0-2, 5.1, 5.1-B,
  58.                                        5.1-1, 5.1-2, 5.2, 5.2-1, 5.3,
  59.                                        5.3-1, 5.3-2, 5.4, 5.4-1, 5.4-2
  60.  
  61.             *******************************************************
  62.             SOLUTION: This problem is not present in VMS V5.4-3
  63.                       (released in October 1991) through V5.5-1
  64.                       (released in July, 1992.)
  65.             *******************************************************
  66.  
  67. Copyright (c) Digital Equipment Corporation, 1992 All Rights Reserved.
  68. Published Rights Reserved Under The Copyright Laws Of The United States.
  69.  
  70. -------------------------------------------------------------------------------
  71. PROBLEM/IMPACT:
  72. -------------------------------------------------------------------------------
  73.     Under certain conditions, unauthorized privileges may be expanded to
  74.     authorized users of a system via the Monitor utility.   Should a system
  75.     be compromised through unauthorized access, there is a risk of potential
  76.     damage to a system environment.  This vulnerability will not permit
  77.     unauthorized persons to acces the system, as individuals attempting to
  78.     gain unauthorized access will continue to be denied through the standard
  79.     VMS security mechanisms.
  80. -------------------------------------------------------------------------------
  81. SOLUTION:
  82. -------------------------------------------------------------------------------
  83.     This potential vulnerability does not exist in VMS V5.4-3
  84.     (released in October 1991) and later versions of VMS through V5.5-1.
  85.  
  86.     Digital strongly recommends that you upgrade to a minimum of VMS V5.4-3,
  87.     and preferably, to the latest release of VMS V5.5-1 (released in July,
  88.     1992).
  89. ------------------------------------------------------------------------------
  90. INFORMATION:
  91. -------------------------------------------------------------------------------
  92.     If you cannot upgrade at this time, Digital recommends that you
  93.     implement a workaround (examples attached below) to avoid any potential
  94.     vulnerability.
  95.  
  96.     As always, Digital recommends that you periodically review your system
  97.     management and security procedures.  Digital will continue to review and
  98.     enhance the security features of its products and work with customers to
  99.     maintain and improve the security and integrity of their systems.
  100. -------------------------------------------------------------------------------
  101. WORKAROUND
  102. -------------------------------------------------------------------------------
  103.     A suggested workaround would be to remove the installed image
  104.     SYS$SHARE:SPISHR.EXE via VMS INSTALL and/or restrict the use of
  105.     the MONITOR utility to "privileged" system administrators.
  106.     Below are examples of doing both.
  107.  
  108. [1] To disable the MONITOR utility, the image SYS$SHARE:SPISHR.EXE should be
  109.     deinstalled.
  110.  
  111.     From a privileged account;
  112.  
  113.     For cluster configurations;
  114.     ---------------------------
  115.  
  116.     $ MC SYSMAN
  117.     SYSMAN> SET ENVIRONMENT/CLUSTER
  118.     SYSMAN> DO INSTALL REMOVE SYS$SHARE:SPISHR.EXE
  119.     SYSMAN> DO RENAME SYS$SHARE:SPISHR.EXE   SPISHR.HOLD
  120.     SYSMAN> EXIT
  121.  
  122.     For non-VAXcluster configurations;
  123.     ---------------------------------
  124.  
  125.     $INSTALL
  126.     INSTALL>REMOVE SYS$SHARE:SPISHR.EXE
  127.     INSTALL>EXIT
  128.     $RENAME SYS$SHARE:SPISHR.EXE SPISHR.HOLD
  129.  
  130.  
  131. [2] If you wish to restrict access to the MONITOR command so that only a
  132.     limited number of authorized (or privileged) persons are granted access
  133.     to the utility, one method might be to issue the following commands:
  134.  
  135.     From a privileged account;
  136.  
  137.     For cluster configurations;
  138.     ---------------------------
  139.  
  140.    $ MC SYSMAN
  141.    SYSMAN> SET ENVIRONMENT/CLUSTER
  142.    SYSMAN> DO INSTALL REMOVE SYS$SHARE:SPISHR.EXE
  143.    SYSMAN> DO SET FILE/ACL=(ID=*,ACCESS=NONE) SYS$SHARE:SPISHR.EXE
  144.    SYSMAN> DO SET FILE/ACL=(ID=SYSTEM,ACCESS=READ+EXECUTE) SYS$SHARE:SPISHR.EXE
  145.    SYSMAN> DO INSTALL ADD SYS$SHARE:SPISHR.EXE/OPEN/HEADER/SHARE/PROTECT
  146.    SYSMAN> EXIT
  147.    $
  148.  
  149.    THIS WILL IMPACT the MONITOR UTILITY FOR REMOTE MONITORING.
  150.    LOCAL MONITORING WILL CONTINUE TO WORK FOR PERSONS HOLDING THE ID's
  151.    GRANTED ACL ACCESS.
  152.  
  153. See additional note(s) below
  154.  
  155.    For non-VAXcluster configurations;
  156.    ----------------------------------
  157.  
  158.    $ INSTALL
  159.    INSTALL>REMOVE SYS$SHARE:SPISHR.EXE
  160.    INSTALL>EXIT
  161.    $ SET FILE /ACL=(ID=*,ACCESS=NONE) SYS$SHARE:SPISHR.EXE
  162.    $ SET FILE /ACL=(ID=SYSTEM,ACCESS=READ+EXECUTE) SYS$SHARE:SPISHR.EXE
  163.    $ INSTALL
  164.    INSTALL>ADD SYS$SHARE:SPISHR.EXE/OPEN/HEADER/SHARE/PROTECT
  165.    INSTALL>EXIT
  166.    $
  167.  
  168.    IN THE ABOVE EXAMPLES, THE "SET FILE /ACL" LINE SHOULD BE REPEATED FOR
  169.    ALL ACCOUNTS THAT ARE REQUIRED/ALLOWED TO USE THE DCL MONITOR COMMAND.
  170.  
  171.    NOTE: The ID -SYSTEM- is an example; as necessary, substitute
  172.          valid user ID's associated with accounts you wish to grant
  173.          access to.
  174.  
  175. ===========================================================================
  176.     End of Text provided by Digital Equipment Corporation
  177.  
  178.  
  179. ---------------------------------------------------------------------------
  180. CERT wishes to thank Teun Nijssen of CERT-NL (the SURFnet CERT, in the
  181. Netherlands) for bringing this security vulnerability to our attention.
  182. We would also like to thank Digital Equipment Corporation's Software Security 
  183. Response Team for providing information on this vulnerability.  
  184. ---------------------------------------------------------------------------
  185.  
  186. If you believe that your system has been compromised, contact CERT or
  187. your representative in FIRST (Forum of Incident Response and Security Teams).
  188.  
  189. Internet E-mail: cert@cert.org
  190. Telephone: 412-268-7090 (24-hour hotline)
  191.           CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  192.           on call for emergencies during other hours.
  193.  
  194. CERT Coordination Center
  195. Software Engineering Institute
  196. Carnegie Mellon University
  197. Pittsburgh, PA 15213-3890
  198.  
  199. Past advisories, information about FIRST representatives, and other
  200. information related to computer security are available for anonymous ftp
  201. from cert.org (192.88.209.5).
  202.  
  203. ****************************************************************************
  204. *                                                                          *
  205. *    The point of contact for MILNET security-related incidents is the     *
  206. *    Security Coordination Center (SCC).                                   *
  207. *                                                                          *
  208. *               E-mail address: SCC@NIC.DDN.MIL                            *
  209. *                                                                          *
  210. *               Telephone: 1-(800)-365-3642                                *
  211. *                                                                          *
  212. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  213. *    Monday through Friday except on federal holidays.                     *
  214. *                                                                          *
  215. ****************************************************************************
  216.  
  217.