home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / sys / novell / 11908 < prev    next >
Encoding:
Text File  |  1993-01-25  |  7.8 KB  |  158 lines
  1. Newsgroups: comp.sys.novell
  2. Path: sparky!uunet!usc!howland.reston.ans.net!zaphod.mps.ohio-state.edu!moe.ksu.ksu.edu!usenet-feed.umr.edu!rfranken
  3. From: rfranken@cs.umr.edu (Richard Brett Frankenberger)
  4. Subject: Re: Novell 3.11 security pitfalls?
  5. References: <will.727121387@ogre> <1993Jan15.211306.15694@umr.edu> <C1FDLo.GDt@Novell.COM>
  6. Date: Mon, 25 Jan 1993 23:33:23 GMT
  7. Nntp-Posting-Host: next5.cs.umr.edu
  8. Organization: University of Missouri - Rolla, Rolla, MO
  9. Keywords: security 
  10. Sender: cnews@umr.edu (UMR Usenet News Post)
  11. Message-ID: <1993Jan25.233323.18095@umr.edu>
  12. Lines: 144
  13.  
  14. In article <C1FDLo.GDt@Novell.COM> Mark_Muhlestein@Novell.COM (Mark Muhlestein) writes:
  15.  
  16. >Speaking for myself, and not as an official spokesperson for Novell, I
  17. >would like to make a few comments about the security issues Brett
  18. >Frankenberger brings up.  After pointing out (correctly) that
  19. >monitoring the entire login session would not allow a security breach,
  20. >he states:
  21.  
  22. I am glad someone from Novell responded (unoficially, of course, but that's
  23. good enough for me) ... 
  24.  
  25. I want to point out that I am not trying to berate Netware.  It is the best
  26. NOS (IMHO) available for PC's and many other platforms also.  I am simply trying
  27. to point out exactly what loopholes do exist, and to express my concern about
  28. what I consider to be flaws in the way Novell handles the discovery of security
  29. loopholes.
  30.  
  31. >>It would ALSO be necessary, in addition to monitoring the wire from the
  32. >>time NETX was run, to monitor the wire when the user changed his
  33. >>password.)
  34. >
  35. >This is a bit misleading in that at no time is the unencrypted
  36. >password sent on the wire.
  37. >
  38.  
  39. I apologize to anyone who was mislead by my statement.  I am (and was) aware
  40. that at NO TIME is an unencrypted password sent on the wire (not while logging
  41. in and not while changing the password.  Of course, this assumes that
  42. unencrypted passwords are NOT enabled on the file server). 
  43.  
  44. However, I do not need this information to forge a packet-signature packet. 
  45. Since no public/private key (whereby a known public key is used to encrypt
  46. something and a private key that is very hard to determine knowing only the
  47. public key is used to decrypt it) methods are used, I can forge a packet-
  48. signature packet if I know EVERYTHING that the server knows.  The server
  49. does NOT know the user's password, as it is never sent in the clear.  Therefore,
  50. I do not need to know the user's password.  I only need to know the encrypted
  51. form of the password that the server has stored in the bindery, and I can find
  52. this out by monitoring the wire while a user is changing his password.
  53.  
  54. >>To be totally secure, a method whereby I can monitor EVERYTHING EVER
  55. >>SENT between a workstation and the server, and still not get in, would
  56. >>be required.  (Of course, physically access is another issue).  So far,
  57. >
  58. >Novell has announced a future (1st half 1993) product which will
  59. >support packet encryption.  We believe this can be done with reasonable
  60. >performance, and it will provide a significant security enhancement for
  61. >those who need it.
  62.  
  63. Keep in mind that, unless this implementd a public/private key system (which,
  64. I think, would cause great performance reduction), I will be able to decrypt the
  65. packets simply by knowing everything that has gone on (since "the beginning
  66. of time") between the server and workstation. 
  67.  
  68. Again, I can live with this risk.  It is not a problem for me, but people
  69. should know exactly what is and is not possible.
  70.  
  71. >>Unfortunately, some people, including me, will be forced to wonder what
  72. >>other loopholes out there.  It seems to me that Novell needs to revamp
  73. >>its security policy.
  74. >
  75. >Although I can't speak for Novell, I think it is fair to say that the
  76. >company has been constantly increasing its concern for security.  The
  77. >only "policy" I know about here on the technical side of the company is
  78. >that when problems are found, we fix them.  The 4.0 release has several
  79. >very significant improvements in the security arena, and many of these
  80. >will be made available in maintenance upgrades to the 3.x products.
  81. >
  82. >As far as publishing known "loopholes" it is well to remember that
  83. >there is a tension between the virtues of open dissemination of
  84. >information on the one hand, and concern for the security of the
  85. >installed base on the other.  I understand that there is some
  86. >controversy on this point.
  87.        [ Discussion about merits of telling public about loophole deleted ]
  88.  
  89. As stated below,it appears to me that Novell did have a fix to the KNOCK.EXE
  90. hole but did not inform people about the loophole or the fix until the
  91. hole was published to the net.
  92.  
  93. >>I think there is plenty of evidence that Novell knew about the hole
  94. >>that KNOCK.EXE exploited before KNOCK.EXE was released, and chose not
  95. >>to tell anyone, in hopes that no one would discover it and that way
  96. >>they would never have to admit there was a loophole.  It seems that
  97. >>they got a patch out pretty fast, if they had no advance knowledge.
  98. >
  99. >This is not true.  The problem KNOCK.EXE exploited was a bug in the 3.0
  100. >and 3.1 password checking code which was not known until after it was
  101. >found by customers.  The patch merely fixed the bug, and 3.11 and 2.2
  102. >incorporated the fix in their initial release.
  103.  
  104. It is my understanding that the patch was NOT released until well after 3.11
  105. was out.  (I was not aware of the patch being released until about March or
  106. April 1992, and the server I administer was running 3.11 since July 1992 or 
  107. so).  I therefore concluded that Novell knew about the bug sometime before
  108. the release of 3.11 (June 1991 or before) but did not acknowledge it
  109. and release a 3.10 patch until March or April 1992.  If the patch was
  110. released at the same time (or before) NetWare 3.11 was released, then I am
  111. mistaken and I apologize. 
  112.  
  113. >>But, consider than 3.11 and 2.2 do NOT have the problem.  Did it just
  114. >>coincidentally disappear, or did they know there was a weakness, and
  115. >>fix it in future versions, but say nothing about it in hopes the public
  116. >>would never discover?
  117. >
  118. >You seem to have your facts confused here.  As I explained above, the
  119. >reason 3.11 and 2.2 don't have the problem is that it was found and
  120. >fixed before they were released.
  121. >
  122. Exactly.  So why wasn't the patch to fix 3.10 released at the same time
  123. 3.11 and 2.2 were released.
  124.  
  125. >As far as HACK.EXE is concerned, obviously, forging packets is a known
  126. >security attack.  As Ron Holt mentioned the first time this topic came
  127. >up, a similar kind of attack as that used by HACK.EXE has been used to
  128. >exploit a weakness in the Unix NFS/YP security scheme (see the October
  129. >1992 issue of Computer Communication Review).  An approach to this
  130. >problem was contemplated for future release, but we were convinced that
  131. >we needed to implement it sooner than we originally planned because of
  132. >the publishing of HACK.EXE.
  133.  
  134. Fair enough.  If novell was planning to fix this, I commend them.  As stated
  135. I never meant to imply that Novell had more security problems than any other
  136. OS.  NetWare is the most secure (IMHO) but it is not perfect.
  137.  
  138. >>Perhaps I am wrong, but I am of the opinion that if Novell were to
  139. >>discover a security hole today, they would patch it, and keep the
  140. >>patch, ready to release if anyone else disocvers the hole.
  141. >>
  142. >>       - Brett
  143. >
  144. >Again, I can't speak for Novell, but why would anyone do this?  The
  145. >problems we have had in the past have been corrected as expeditiously
  146. >as possible, within the constraints of normal, accepted software
  147. >development methodology.  Our current products provide excellent
  148. >network security.  With the new products coming soon, I believe we will
  149. >continue a leadership role in this important area.
  150. >
  151. Why?  Because they can hope that no one will ever find it, and then the users
  152. will never have to be told that it exists, which will make NetWare look better.
  153. (A bad strategy, it would seem to me, as there are plenty of hackers out there
  154. doing their best to find their way in).
  155. >Mark_Muhlestein@novell.com
  156.  
  157.      - Brett
  158.