home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ddn-news / ddn-mgt-bulletin-46.txt < prev    next >
Encoding:
Text File  |  1991-07-10  |  3.9 KB  |  94 lines
  1. ********************************************************************** 
  2. DDN MGT Bulletin 46              DCA DDN Defense Communications System   
  3. 1 Dec 88                         Published by: DDN Network Info Center
  4.                                     (NIC@SRI-NIC.ARPA)  (800) 235-3155
  5.  
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.  
  9.                          MANAGEMENT  BULLETIN
  10.  
  11. The DDN MANAGEMENT BULLETIN is distributed online by the DDN Network
  12. Information Center under DCA contract as a means of communicating
  13. official policy, procedures and other information of concern to
  14. management personnel at DDN facilities.  Back issues may be read
  15. through the TACNEWS server ("@n" command at the TAC) or may be
  16. obtained by FTP (or Kermit) from the SRI-NIC host [26.0.0.73 or
  17. 10.0.0.51] using login="anonymous" and password="guest".  The pathname
  18. for bulletins is DDN-NEWS:DDN-MGT-BULLETIN-nn.TXT (where "nn" is the
  19. bulletin number).
  20. **********************************************************************
  21.  
  22.             CORRECTION FOR FTP RELATED SECURITY FLAW
  23.  
  24. Vulnerabilities exist for sites using Berkeley UNIX software or
  25. software derived from Berkeley UNIX.  If you don't know if your
  26. system uses Berkeley derived UNIX, contact your vendor.
  27.  
  28. The following direction has been prepared with assistance from
  29. Berkeley and the Computer Emergency Reaction Team (CERT).  The
  30. fix was independently validated.  If you are running FTP service
  31. (with ftpd) then you will need to take the following steps:
  32.  
  33. Steps (1), (2), and (3) below should be taken NOW.  Follow up
  34. shortly afterward with the remaining steps.
  35.  
  36. (1) Become root.
  37.  
  38. (2) Remove the FTP server program (ftpd).  One of the following
  39. will work.  It is OK to do all four.
  40.     rm /etc/ftpd
  41.     rm /usr/etc/ftpd
  42.     rm /etc/in.ftpd
  43.     rm /usr/etc/in.ftpd
  44.  
  45. (3) EITHER reboot your system OR kill the running ftpd process.
  46.  
  47. (4) You are safe at this point, but your system is no longer
  48. providing an FTP server.  (You have removed the FTP server
  49. program from your disk.)  NOTE: You will still be able to use
  50. FTP to obtain the fix from the Network Information Center (NIC),
  51. but you will not be able to accept externally initiated file
  52. transfers.
  53.  
  54. (5) Obtain the ftpd fix from the NIC, from Berkeley, from the
  55. CERT, or from your vendor.  Install according to the instructions.
  56. NOTE: A version of the patch was disseminated about a month ago
  57. from Berkeley, and many sites will already have installed the
  58. fix.  The fix that is now being released is a slight improvement
  59. to this earlier fix, and we suggest making this additional
  60. upgrade.
  61.  
  62. The fix is available from the NIC through anonymous FTP.  To get
  63. a copy:
  64.  
  65.     Open an FTP connection to SRI-NIC.ARPA
  66.     Retrieve the contents of NETINFO:UNIX-FTPD.SHAR
  67.  
  68. (NOTE! If you obtained a copy of the fix prior to receiving this
  69.  bulletin you will need to retrieve a fresh copy of the fix.)
  70.  
  71. For further information about the retrieval of the patch, call
  72. the NIC at (800) 235-3155.
  73.  
  74. The fix is also available from the CERT; send computer mail to:
  75. CERT [at] SEI.CMU.EDU to get the fix via computer mail.
  76.  
  77. (6) Once the fix is installed, you can resume providing an FTP
  78. server.  For further information about the patch itself call
  79. the Computer Emergency Response Team Coordination Center at
  80. (412) 268-7090, Keith Bostic (Berkeley) at (415) 642-8524, or
  81. Phil Lapsley or Peter Yee (Berkeley) at (415) 642-7447.
  82.  
  83. (7) Be sure you have installed the SENDMAIL and FINGERD fixes
  84. that were previously provided (see DDN Management Bulletin #43).
  85. It is important that these fixes be installed.  The FINGERD hole
  86. is sufficiently dangerous that you should remove fingerd pending
  87. installation of the fix.  Follow steps (1), (2), and (3) above
  88. substituting "fingerd" for "ftpd".  The fixes for these problems
  89. are also available from the NIC.
  90.  
  91. (8) If you are running an (obsolete) BSD 4.2 derived system, then
  92. it is strongly advised that you obtain an upgrade to 4.3 (or its
  93. descendants).
  94.