home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / sys / hp / 9716 < prev    next >
Encoding:
Internet Message Format  |  1992-08-26  |  4.2 KB
  1. Xref: sparky comp.sys.hp:9716 alt.security:4213
  2. Newsgroups: comp.sys.hp,alt.security
  3. Path: sparky!uunet!destroyer!fmsrl7!ef2007!bkelley
  4. From: bkelley@ef2007.efhd.ford.com (Brian Kelley)
  5. Subject: HP changes security related patch distribution policy
  6. Message-ID: <BtLo7J.8DB@ef2007.efhd.ford.com>
  7. Keywords: patch security HP
  8. Organization: Ford Motor Company
  9. Date: Wed, 26 Aug 1992 16:52:30 GMT
  10. Lines: 78
  11.  
  12.  
  13.  
  14. On Tuesday August 11, I made the following post to comp.sys.hp and
  15. alt.security:
  16.  
  17. >Some monthes ago we discovered a security problem with ftp on the RS/6000.
  18. >The fix was Very trivial.  However, for some reason, it took many months
  19. >for a CERT advisory to appear.  In this case, CERT didn't seem to work.
  20. >I did a little checking into the process.  I learned that CERT won't issue
  21. >an advisory until a patch or work-around is available.  On the RS/6000, it was
  22. >known from the start that a chmod on the ftp directory would correct the
  23. >problem.  Regardless, my involvement with that particular bug was not direct
  24. >enough to be able to determine what actually caused the large delay.
  25. >
  26. >We recently discovered a rather serious security problem on the HP.  We
  27. >reported the problem to HP on 6/10 and had a patch several days later.  The
  28. >response from HP was very good.  Ah, I thought - a chance to see how well
  29. >CERT really works.   Initially, our patch was going to be a Ford "special" -
  30. >HP did not intend to release it to everyone.  I felt that was not
  31. >appropriate.  I indicated I would be contacting CERT and asked that the patch
  32. >receive a normal HP "patch ID".  HP provided the patch IDs for the 300, 700
  33. >and 800 series (8.X only, as far as I know).
  34. >
  35. >I contacted CERT by phone and followed up with a very detailed Email message
  36. >on 6/24.  That message described everything, gave the patch IDs and my call
  37. >reference number.  CERT phoned and Emailed (again, detailed) their HP
  38. >contact person on 6/24.  Very little progress seems to have been made.
  39. >Many calls have been made by CERT and things seem to be stalled on the HP
  40. >side.
  41. >
  42. >CERT is concerned about the availability of this patch.  Normally, HP patches
  43. >are only available to software support customers.  Before going public, CERT
  44. >would like to be sure these patches are available to Anyone with an HP
  45. >machine (just like Sun does).  They are asking their HP contact to confirm
  46. >the availability of the patch.  I am trying to find out who the HP
  47. >contact person is - I'd like to know the reason for the delay.
  48. >
  49. >What is the HP policy for distributing security related patches to HP
  50. >system owners without Software Support?  Sun's policy is great - you don't
  51. >even have to rely on a potentially flaky local sales office.  You just
  52. >call their 800 number, give your system serial number and ask for the patch.
  53. >
  54. >  Brian
  55.  
  56.  
  57. Well, things are definitely looking good.  CERT and myself have been pushing
  58. HP rather hard on this issue.  HP has responded surprisingly quickly for
  59. such a large company.  You can make a difference - just be persistent, and
  60. work for a big company ;-)
  61.  
  62. HP is changing their policy regarding security related patches.  They will
  63. be freely available to all HP system owners regardless of whether their
  64. machines are on software support.
  65.  
  66. I'm told a new "security" section will be added to the HP support line
  67. system.  You can connect to this system over the Internet or direct dial-in.
  68. High priority will be given to security related patches - they should appear
  69. in that section on a timely basis.  HP says this section should be created
  70. within the next week or so.
  71.  
  72. Expect a CERT advisory for this bug once the patch is freely available.
  73.  
  74. Note that it does make some sense to have your machines on BasicLine support.
  75. The cost is about $40/month.  No, I'm not suggesting that is inexpensive
  76. (especially for a home machine).  Keep in mind HP's OS licensing policy.
  77. They support the current release and one release back.  As I understand
  78. things, if you purchased your machine with 8.05, each machine you upgrade
  79. to 8.07 must have a BasicLine subscription.  If you don't have BasicLine
  80. (or some other software support), you're not licensed to run any new
  81. OS versions.  Not all vendors license this way.
  82.  
  83.   Brian
  84.  
  85.  
  86. ---
  87. bkelley@pms001.pms.ford.com
  88. Not speaking for Ford.
  89.  
  90.