home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / sys / novell / 11978 < prev    next >
Encoding:
Internet Message Format  |  1993-01-28  |  3.0 KB
  1. Path: sparky!uunet!charon.amdahl.com!pacbell.com!decwrl!hal.com!olivea!pagesat!netsys!agate!dog.ee.lbl.gov!hellgate.utah.edu!fcom.cc.utah.edu!gateway.univel.com!ns.novell.com!ithaca.Eng.Sandy.Novell.COM!mmm
  2. From: Mark_Muhlestein@Novell.COM (Mark Muhlestein)
  3. Newsgroups: comp.sys.novell
  4. Subject: Re: Novell 3.11 security pitfalls?
  5. Keywords: security
  6. Message-ID: <C1H3u9.J2v@Novell.COM>
  7. Date: 26 Jan 93 18:10:56 GMT
  8. References: <1993Jan15.211306.15694@umr.edu> <C1FDLo.GDt@Novell.COM> <1993Jan25.233323.18095@umr.edu>
  9. Sender: usenet@Novell.COM (Usenet News)
  10. Organization: Novell, Inc.
  11. Lines: 50
  12. Nntp-Posting-Host: ithaca.eng.sandy.novell.com
  13.  
  14.  
  15. I appreciate the calm tone of this discussion, Brett.  Let's try to
  16. get any remaining questions cleared up.
  17.  
  18. Regarding the security features of future products, I think I'd best
  19. defer detailed discussions until the products are described through
  20. normal channels, but I do think you will be pleased with what we will
  21. be offering.
  22.  
  23. On the issue of the timing of the KNOCK.EXE patch, you wrote:
  24.  
  25. >As stated below,it appears to me that Novell did have a fix to the
  26. >KNOCK.EXE hole but did not inform people about the loophole or the fix
  27. >until the hole was published to the net.
  28.  [ ... ]
  29. >It is my understanding that the patch was NOT released until well after
  30. >3.11 was out.  (I was not aware of the patch being released until about
  31. >March or April 1992, and the server I administer was running 3.11 since
  32. >July 1992 or so).  I therefore concluded that Novell knew about the bug
  33. >sometime before the release of 3.11 (June 1991 or before) but did not
  34. >acknowledge it and release a 3.10 patch until March or April 1992.  If
  35. >the patch was released at the same time (or before) NetWare 3.11 was
  36. >released, then I am mistaken and I apologize.
  37.  
  38. OK, I think we can straighten this out.  The problem was found in
  39. December 1990, as nearly as I can determine.  The 3.10 patch was
  40. devised within two days of the bug report, and was officially made
  41. available early in January, 1991.  By the end of January 1991,
  42. thousands of downloads of the patch ("PASSFIX") had been done on
  43. NetWire.  The 3.11 release was cut mid-February 1991, and incorporated
  44. the bug fix.  The timing of these events was fairly close, so I can see
  45. why you might have been confused about this, although you are way off
  46. on the date of 3.10 patch.
  47.  
  48. >>Again, I can't speak for Novell, but why would anyone do this?
  49.  
  50. >Why?  Because they can hope that no one will ever find it, and then the
  51. >users will never have to be told that it exists, which will make
  52. >NetWare look better.  (A bad strategy, it would seem to me, as there
  53. >are plenty of hackers out there doing their best to find their way in.)
  54. >     - Brett
  55.  
  56. As I mentioned before, the problem was not discovered in-house, so
  57. there was never any question of avoiding telling the users.  In any
  58. case I agree this would be a bad strategy, which is why I asked the
  59. question.  I hope this information helps clear things up.
  60.  
  61. Speaking for myself only,
  62.  
  63. Mark_Muhlestein@novell.com
  64.