home *** CD-ROM | disk | FTP | other *** search

---

/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / 9226

< prev

next >

Wrap

Text File  |  1992-11-19  |  11KB  |  211 lines

---

1. **************************************************************************
2. Security Bulletin 9226                  DISA Defense Communications System
3. November 19, 1992           Published by: DDN Security Coordination Center
4.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
5.  
6.                         DEFENSE  DATA  NETWORK
7.                           SECURITY  BULLETIN
8.  
9.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
10.   Coordination Center) under DISA contract as a means of communicating
11.   information on network and host security exposures, fixes, and concerns
12.   to security and management personnel at DDN facilities.  Back issues may
13.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
14.   using login="anonymous" and password="guest".  The bulletin pathname is
15.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
16.   and "nn" is a bulletin number, e.g. scc/ddn-security-9226).
17.  
18. **************************************************************************
19. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
20. !                                                                       !
21. !     The following important  advisory was  issued by the Computer     !
22. !     Emergency Response Team (CERT) and is being relayed unedited      !
23. !     via the Defense Information Systems Agency's Security             !
24. !     Coordination Center distribution system as a means of providing   !
25. !     DDN subscribers with useful security information.                 !
26. !                                                                       !
27. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
28.  
29. CA-92:18
30.                             CERT Advisory
31.                           November 17, 1992
32.                   Revised VMS Monitor Vulnerability 
33.  
34. ---------------------------------------------------------------------------
35.                    
36.                 *** THIS IS A REVISED CERT ADVISORY ***
37. *** IT CONTAINS NEW INFORMATION REGARDING AVAILABILITY OF IMAGE KITS ***
38.                *** SUPERSEDES CERT ADVISORY CA-92:16 ***
39.  
40.  
41. The CERT Coordination Center received information concerning a
42. potential vulnerability with Digital Equipment Corporation's VMS
43. Monitor. This vulnerability is present in V5.0 through V5.4-2 but has
44. been corrected in V5.4-3 through V5.5-1.  The Software Security 
45. Response Team at Digital has provided the following information
46. concerning this vulnerability.
47.  
48. The remedial image kit was not available at the time CERT distributed
49. the CA-92:16.VMS.monitor.vulnerability advisory (dated September 22,
50. 1992).  At that time, Digital strongly suggested that customers either
51. upgrade to VMS V5.4-3 (preferably to V5.5-1) or implement the provided
52. workaround if unable to upgrade.
53.  
54. The following SSRT-200-1 addendum contains information about the
55. availability of new images to address the possible vulnerability with
56. VMS Monitor.
57.  
58. This last and final addendum includes new information about remedial
59. images for VMS V5.0 through V5.4-2.
60.  
61. Digital strongly suggests that those customers who were unable to
62. upgrade their systems (i.e., VMS V5.0 through V5.4-2) obtain and
63. install the remedial image kit on their system(s).
64.  
65. For additional information, please contact your normal Digital 
66. Services Support Organization.
67.  
68.  
69.         The information separated by the hash (#) line is
70.      excerpted from the previously published CERT Advisory
71. ############################################################################
72.  
73. SSRT-0200   PROBLEM: Potential Security Vulnerability Identified in Monitor
74.              SOURCE: Digital Equipment Corporation
75.              AUTHOR: Software Security Response Team - U.S.
76.                      Colorado Springs USA
77.  
78.             PRODUCT:  VMS
79. Symptoms Identified On:  VMS, Versions 5.0, 5.0-1, 5.0-2, 5.1, 5.1-B,
80.                                        5.1-1, 5.1-2, 5.2, 5.2-1, 5.3,
81.                                        5.3-1, 5.3-2, 5.4, 5.4-1, 5.4-2
82.  
83.             *******************************************************
84.             SOLUTION: This problem is not present in VMS V5.4-3
85.                       (released in October 1991) through V5.5-1
86.                       (released in July, 1992.)
87.             *******************************************************
88. Copyright (c) Digital Equipment Corporation, 1992 All Rights Reserved.
89. Published Rights Reserved Under The Copyright Laws Of The United States.
90. -----------------------------------------------------------------------------
91. PROBLEM/IMPACT:
92. -----------------------------------------------------------------------------
93.      Unauthorized privileges may be expanded to authorized users of a system
94.      under certain conditions, via the Monitor utility.   Should a system be
95.      compromised through unauthorized access, there is a risk of potential
96.      damage to a system environment.  This problem will not permit unauthorized
97.      users to access a system, as individuals attempting to gain unauthorized
98.      access will continue to be denied through the standard VMS security
99.      mechanisms.
100. -----------------------------------------------------------------------------
101. SOLUTION:
102. -----------------------------------------------------------------------------
103.      This potential vulnerability does not exist in VMS V5.4-3
104.      (released in October 1991) and later versions of VMS through V5.5-1.
105.  
106.      Digital strongly recommends that you upgrade to a minimum of VMS V5.4-3,
107.      and further, to the latest release of VMS V5.5-1. (released in July, 1992)
108.  
109. #############################################################################
110.     End of material excerpted from previously published CERT Advisory
111.  
112.  
113.           Beginning of Text Provided by Digital Equipment Corporation
114. =============================================================================
115.      21-OCT-1992 SSRT-0200-1 (ADDENDUM)
116.      21-AUG-1992 SSRT-0200
117.     
118.      SOURCE:         Digital Equipment Corporation
119.      AUTHOR:         Software Security Response Team - U.S.
120.                         Colorado Springs USA
121.  
122.          PRODUCT: VMS MONITOR V5.0 through V5.4-2 
123.  
124.              PROBLEM: Potential Security Vulnerability in VMS Monitor Utility
125.             SOLUTION: A VMS V5.0 through V5.4-2 remedial kit is now available 
126.                       by contacting your normal Digital Services Support 
127.                       organization.     
128.  
129.             NOTE:     This problem has been corrected in VAX VMS V5.4-3
130.                       (released in October 1991).  
131.            __________________________________________________________________
132.            The kit may be identified as MONTOR$S01_05* or CSCPAT_1047 
133.            via DSIN , and DSNlink.
134.        ------------------------------------------------------------------
135.     
136.      Copyright (c) Digital Equipment Corporation, 1992 All Rights Reserved.
137.      Published Rights Reserved Under The Copyright Laws Of The United States.
138.  
139.      -------------------------------------------------------------------------    
140.      ADVISORY ADDENDUM INFORMATION:
141.      -------------------------------------------------------------------------    
142.  
143.      In August 1992, an advisory and article were distributed describing a 
144.      potential security vulnerability discovered in the VMS Monitor utility and
145.      providing suggested workarounds to remove the vulnerability. The advisory
146.      was labeled SSRT-200 "Potential Security Vulnerability in VMS Monitor
147.      Utility."
148.  
149.      This advisory follows that advisory with information on the
150.      availability of a kit containing a new sys$share:spishr.exe for VMS
151.      V5.0-* through VMS V5.4-2 (which may be identified as MONTOR$S01_050
152.      through MONTOR$S01_054, respectively).  The kit is available from
153.      your Digital Services organization.  In the U.S., the kit is also
154.      identified as CSCPAT_1047 via DSIN and DSNlink.
155.  
156. Note:This potential vulnerability does not exist in VMS V5.4-3 and later
157.      versions of VMS.  Digital strongly recommends that you upgrade to a
158.      minimum of VMS V5.4-3, and further, to the latest release of VMS V5.5-1.
159.      (released in July, 1992)
160.  
161.      If you cannot upgrade to a minimum of VMS V5.4-3 at this time,
162.      Digital strongly recommends that you install the available V5.0-* 
163.      through V5.4-2 kit on your system(s), available from your support 
164.      organization, to avoid any potential vulnerability. 
165.  
166.      You may obtain a kit for VMS V5.0 through V5.4-2 by contacting your normal
167.      Digital Services support organization (Customer Support Center, using 
168.      DSNlink or DSIN, or your local support office).  
169.  
170.      As always, Digital recommends that you periodically review your system
171.      management and security procedures.  Digital will continue to review and
172.      enhance the security features of its products and work with customers to
173.      maintain and improve the security and integrity of their systems.
174.  
175. ===========================================================================
176.         End of Text provided by Digital Equipment Corporation
177.  
178. ---------------------------------------------------------------------------
179. CERT wishes to thank Teun Nijssen of CERT-NL (the SURFnet CERT, in the
180. Netherlands) for bringing this security vulnerability to our attention.
181. We would also like to thank Digital Equipment Corporation's Software Security
182. Response Team for providing information on this vulnerability.
183. ---------------------------------------------------------------------------
184.  
185. If you believe that your system has been compromised, contact CERT or
186. your representative in FIRST (Forum of Incident Response and Security Teams).
187.  
188. Internet E-mail: cert@cert.org
189. Telephone: 412-268-7090 (24-hour hotline)
190.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
191.            on call for emergencies during other hours.
192.  
193. CERT Coordination Center
194. Software Engineering Institute
195. Carnegie Mellon University
196. Pittsburgh, PA 15213-3890
197.  
198. ****************************************************************************
199. *                                                                          *
200. *    The point of contact for MILNET security-related incidents is the     *
201. *    Security Coordination Center (SCC).                                   *
202. *                                                                          *
203. *               E-mail address: SCC@NIC.DDN.MIL                            *
204. *                                                                          *
205. *               Telephone: 1-(800)-365-3642                                *
206. *                                                                          *
207. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
208. *    Monday through Friday except on federal holidays.                     *
209. *                                                                          *
210. ****************************************************************************
211.