home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / sys / novell / 12023 < prev    next >
Encoding:
Text File  |  1993-01-28  |  4.3 KB  |  86 lines
  1. Newsgroups: comp.sys.novell
  2. Path: sparky!uunet!news.univie.ac.at!scsing.switch.ch!univ-lyon1.fr!ghost.dsi.unimi.it!rpi!usc!cs.utexas.edu!qt.cs.utexas.edu!yale.edu!yale!gumby!destroyer!news.iastate.edu!hobbes.physics.uiowa.edu!moe.ksu.ksu.edu!usenet-feed.umr.edu!rfranken
  3. From: rfranken@cs.umr.edu (Richard Brett Frankenberger)
  4. Subject: Re: Novell 3.11 security pitfalls?
  5. References: <C1FDLo.GDt@Novell.COM> <1993Jan25.233323.18095@umr.edu> <C1H3u9.J2v@Novell.COM>
  6. Date: Wed, 27 Jan 1993 16:31:01 GMT
  7. Nntp-Posting-Host: next5.cs.umr.edu
  8. Organization: University of Missouri - Rolla, Rolla, MO
  9. Keywords: security 
  10. Sender: cnews@umr.edu (UMR Usenet News Post)
  11. Message-ID: <1993Jan27.163101.18078@umr.edu>
  12. Lines: 72
  13.  
  14. In article <C1H3u9.J2v@Novell.COM> Mark_Muhlestein@Novell.COM (Mark Muhlestein) writes:
  15. >
  16. >I appreciate the calm tone of this discussion, Brett.  Let's try to
  17. >get any remaining questions cleared up.
  18.  
  19. As do I.  I think this may finally put a rest to these concerns.  I am glad 
  20. someone from Novell.COM has taken the time top respond.
  21.  
  22. >>  [ Stuff about KNOCK.EXE deleted ]           
  23. >
  24. >OK, I think we can straighten this out.  The problem was found in
  25. >December 1990, as nearly as I can determine.  The 3.10 patch was
  26. >devised within two days of the bug report, and was officially made
  27. >available early in January, 1991.  By the end of January 1991,
  28. >thousands of downloads of the patch ("PASSFIX") had been done on
  29. >NetWire.  The 3.11 release was cut mid-February 1991, and incorporated
  30. >the bug fix.  The timing of these events was fairly close, so I can see
  31. >why you might have been confused about this, although you are way off
  32. >on the date of 3.10 patch.
  33.  
  34. OK.  I was not aware of any 3.10 patch until KNOCK.EXE was discussed on the
  35. net (this group) about March or April 1992.  After a day or two of      
  36. discussion someone from Novell (I think) posted that a patch was available on
  37. NetWire and via the normal FTP sites. I got the impression that the patch had
  38. just been written my Novell.  If it was in fact written and released in early
  39. 1991 then I am indeed way off.  I take your word that the patch was released in
  40. January 1991, and I stand corrected.
  41.  
  42. >>Why?  Because they can hope that no one will ever find it, and then the
  43. >>users will never have to be told that it exists, which will make
  44. >>NetWare look better.  (A bad strategy, it would seem to me, as there
  45. >>are plenty of hackers out there doing their best to find their way in.)
  46. >>     - Brett
  47. >
  48. >As I mentioned before, the problem was not discovered in-house, so
  49. >there was never any question of avoiding telling the users.  In any
  50. >case I agree this would be a bad strategy, which is why I asked the
  51. >question.  I hope this information helps clear things up.
  52.  
  53. True.  I was speaking hypothetically (probably not a great idea).  
  54. I must say, I've brought these concerns up before and never gotten much in the
  55. way of a response.  I am glad these issues have finally been cleared up (at
  56. least for me).  I have never doubted Novell's resolve to create a secure
  57. system.  It had just been my opinion that the way Novell handled security
  58. breaches left something to be desired (deny that there is even the possible of
  59. a security hole until some posts or threatens to post code to exploit a hole
  60. then stall about the issue until a patch is written, then admit the whole,
  61. release the patch, and state that most other NOS's have the same hole (which,
  62. of course, is generally true)).
  63.  
  64. My main complaint has always been information.  I don't mind the fact that
  65. NetWare is not 100% secure.  It never will be. While there is merit to the idea
  66. that code to implement loopholes should not be posted to the net, I think that
  67. it is reasonably to expect that NetWare administrators should be informed of
  68. the nature of security breaches, so that they can evalute the security risk in
  69. their own situation.  
  70.  
  71. However, those are all opinions.  All the factual stuff (such as the release
  72. dates for the various patches) has been cleared up.  (And it is my opinion that
  73. Novell is getting better with the way security breaches are handled).
  74.  
  75. >Speaking for myself only,
  76.  
  77. Same here.
  78.  
  79. >Mark_Muhlestein@novell.com
  80.  
  81. Thanks for responding.  It is good that someone with better access to the facts
  82. that I has finally cleared most of this up.  Now the net should be able to 
  83. get back to as close to normal as it ever is.  
  84.  
  85.         - Brett    (rfranken@cs.umr.edu) 
  86.