home *** CD-ROM | disk | FTP | other *** search

---

/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / 9305

< prev

next >

Wrap

Text File  |  1993-02-16  |  6KB  |  131 lines

---

1.  
2. **************************************************************************
3. Security Bulletin 9305                  DISA Defense Communications System
4. February 16, 1993           Published by: DDN Security Coordination Center
5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
6.  
7.                         DEFENSE  DATA  NETWORK
8.                           SECURITY  BULLETIN
9.  
10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
11.   Coordination Center) under DISA contract as a means of communicating
12.   information on network and host security exposures, fixes, and concerns
13.   to security and management personnel at DDN facilities.  Back issues may
14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
15.   using login="anonymous" and password="guest".  The bulletin pathname is
16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9305).
18. **************************************************************************
19. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
20. !                                                                       !
21. !     The following important  advisory was  issued by the Computer     !
22. !     Emergency Response Team (CERT)  and is being relayed unedited     !
23. !     via the Defense Information Systems Agency's Security             !
24. !     Coordination Center  distribution  system  as a  means  of        !
25. !     providing  DDN subscribers with useful security information.      !
26. !                                                                       !
27. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
28.  
29. ===========================================================================
30. CA-93:04                      CERT Advisory
31.                             February 12, 1993
32.                Commodore Amiga UNIX finger Vulnerability
33.  
34. ---------------------------------------------------------------------------
35.  
36. The CERT Coordination Center has received information concerning a
37. vulnerability in the "finger" program of Commodore Business Machine's
38. Amiga UNIX product.  The vulnerability affects Commodore Amiga UNIX
39. versions 1.1, 2.03, 2.1, 2.1p1, 2.1p2, and 2.1p2a.  Commodore is aware
40. of the vulnerability, and both a workaround and a patch are available.
41. Affected sites should apply either the workaround or the patch. 
42. Directions are provided below. 
43.  
44. If you have any further questions, contact Commodore's David Miller
45. via e-mail.  David's e-mail address is davidm@cdmvax.commodore.com.
46.  
47. ---------------------------------------------------------------------------
48.  
49. I.    Description
50.  
51.       The "finger" command in Amiga UNIX contains a security
52.       vulnerability.
53.  
54.  
55. II.   Impact
56.  
57.       Non-privileged users can gain unauthorized access to files.
58.  
59.  
60. III.  Solution
61.  
62.       Commodore has suggested a workaround and a patch, as follows:
63.  
64.       A. Workaround
65.  
66.          As root, modify the permission of the existing /usr/bin/finger
67.          to prevent misuse.
68.  
69.                 # /bin/chmod 0755 /usr/bin/finger
70.  
71.       B. Patch
72.  
73.          As root, install the "pubsrc" package from the distribution tape. 
74.  
75.          In the file, "/usr/src/pub/cmd/finger/src/finger.c", add the line:
76.  
77.                 setuid(getuid());
78.  
79.          immediately before the line reading:
80.  
81.                 display_finger(finger_list);
82.  
83.          (Optionally) save a copy of the existing /usr/bin/finger and modify
84.          its permission to prevent misuse.
85.  
86.                 # /bin/mv /usr/bin/finger /usr/bin/finger.orig
87.                 # /bin/chmod 0755 /usr/bin/finger.orig
88.  
89.          In the directory, "/usr/src/pub/cmd/finger", issue the command:
90.  
91.                 # cd /usr/src/pub/cmd/finger
92.                 # make install
93.  
94. ------------------------------------------------------------------------------ 
95. The CERT Coordination Center wishes to thank Commodore Business
96. Machines for their response to this problem.
97. ------------------------------------------------------------------------------ 
98.  
99. If you believe that your system has been compromised, contact the CERT
100. Coordination Center or your representative in FIRST (Forum of Incident
101. Response and Security Teams).
102.  
103. Internet E-mail: cert@cert.org
104. Telephone: 412-268-7090 (24-hour hotline)
105.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
106.            on call for emergencies during other hours.
107.  
108. CERT Coordination Center
109. Software Engineering Institute
110. Carnegie Mellon University
111. Pittsburgh, PA 15213-3890
112.  
113. Past advisories, information about FIRST representatives, and other
114. information related to computer security are available for anonymous FTP
115. from cert.org (192.88.209.5).
116.  
117.  
118. ****************************************************************************
119. *                                                                          *
120. *    The point of contact for MILNET security-related incidents is the     *
121. *    Security Coordination Center (SCC).                                   *
122. *                                                                          *
123. *               E-mail address: SCC@NIC.DDN.MIL                            *
124. *                                                                          *
125. *               Telephone: 1-(800)-365-3642                                *
126. *                                                                          *
127. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
128. *    Monday through Friday except on federal holidays.                     *
129. *                                                                          *
130. ****************************************************************************
131.