home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-91:15.NCSA.Telnet.vulnerability < prev    next >
Encoding:
Text File  |  1991-09-09  |  3.9 KB  |  96 lines
  1. ===========================================================================
  2. CA-91:15                        CERT Advisory
  3.                                September 10, 1991
  4.             Mac/PC NCSA Telnet Vulnerability
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  9. received information concerning a vulnerability in the default
  10. configurations of National Center for Supercomputing Applications
  11. (NCSA) Telnet for both the Macintosh and the PC.  The vulnerability
  12. also affects the version of NCSA Telnet with IBM 3270 terminal
  13. emulation distributed by Clarkson University.  Two workarounds are
  14. available that correct this problem.
  15.  
  16. NCSA has committed to changing the default configurations in future
  17. releases.  Maintenance updates for both the Macintosh and the PC are
  18. planned to be released in about 2 months.
  19.  
  20. NCSA provides two e-mail addresses for Telnet questions, comments,
  21. and bug reports:
  22.  
  23.      PC Telnet        pctelnet@ncsa.uiuc.edu
  24.      Mac Telnet        mactelnet@ncsa.uiuc.edu
  25.  
  26. ---------------------------------------------------------------------------
  27.  
  28. I.   Description
  29.  
  30.      The default configuration of NCSA Telnet for both the Macintosh
  31.      and the PC has a serious vulnerability in its implementation of
  32.      an ftp server.
  33.  
  34.      The default configuration file enables ftp via the "ftp=yes"
  35.      line.  However, sites should be aware that ftp is also enabled
  36.      in the absence of any ftp statement in the configuration file.
  37.  
  38. II.  Impact
  39.  
  40.      Any Internet user can connect via ftp to a PC or Macintosh
  41.      running the default configuration of NCSA Telnet and gain
  42.      unauthorized read and write access to any of its files, including
  43.      system files.
  44.  
  45. III. Solution
  46.         
  47.      Either disable ftp server functionality or provide password
  48.      protection as described below.
  49.  
  50.      To disable the ftp server, add an "ftp=no" line in the
  51.      configuration file.
  52.  
  53.      If the ftp server option is enabled (via either an "ftp=yes" line 
  54.      in the configuration file or the absence of an ftp statement in the 
  55.      configuration file), then the Telpass program (included with both 
  56.      Mac and PC versions) can be used to provide password protection.  
  57.      Telpass is used to enter usernames and encrypted passwords into a 
  58.      password file.  The configuration file specifies the name and 
  59.      location of the password file in the "passfile=" statement.  The 
  60.      usage of Telpass is documented in Chapter 5 of version 2.4 of the 
  61.      Macintosh version documentation and Chapter 7 of version 2.3 of the 
  62.      PC version.  Note that the documentation (as well as the package 
  63.      itself) is available by anonymous ftp from ftp.ncsa.uiuc.edu 
  64.      (141.142.20.50).
  65.  
  66.      The instructions for enabling password protection differ between
  67.      the Macintosh and PC versions, but in both cases they involve
  68.      enabling the "passfile" option in the configuration file, and
  69.      creating usernames and encrypted passwords with the Telpass
  70.      program.  
  71.  
  72.      CERT/CC strongly urges all sites running NCSA Telnet to implement
  73.      one of these two workarounds.
  74.  
  75. ---------------------------------------------------------------------------
  76. The CERT/CC would like to thank NCSA and Clarkson University for their
  77. assistance.
  78. ---------------------------------------------------------------------------
  79.  
  80. If you believe that your system has been compromised, contact CERT/CC via
  81. telephone or e-mail.
  82.  
  83. Computer Emergency Response Team/Coordination Center (CERT/CC)
  84. Software Engineering Institute
  85. Carnegie Mellon University
  86. Pittsburgh, PA 15213-3890
  87.  
  88. Internet E-mail: cert@cert.sei.cmu.edu
  89. Telephone: 412-268-7090 24-hour hotline:
  90.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EDT,
  91.            on call for emergencies during other hours.
  92.  
  93. Past advisories and other computer security related information are available
  94. for anonymous ftp from the cert.sei.cmu.edu (192.88.209.5) system.
  95.  
  96.