home *** CD-ROM | disk | FTP | other *** search
/ Big Green CD 8 / BGCD_8_Dev.iso / NEXTSTEP / UNIX / Security / lpr-wrapper-1.0.1-MIHS / CERT-CA-97.19 < prev    next >
Encoding:
Internet Message Format  |  1997-06-25  |  9.6 KB
  1. Date: Wed, 25 Jun 1997 12:02:06 -0400
  2. From: CERT Advisory <cert-advisory@cert.org>
  3. To: cert-advisory@cert.org
  4. Subject: CERT Advisory CA-97.19 - lpr Buffer Overrun Vulnerability
  5. Reply-To: cert-advisory-request@cert.org
  6. Organization: CERT(sm) Coordination Center -  +1 412-268-7090
  7.  
  8. =============================================================================
  9. CERT* Advisory CA-97.19
  10. Original issue date: June 25, 1997
  11. Last revised: --
  12.  
  13. Topic: lpr Buffer Overrun Vulnerability
  14. -----------------------------------------------------------------------------
  15.             The technical content of this advisory was
  16.             originally published by AUSCERT (AA-96.12),
  17.             who last updated the information on June 19, 1997.
  18.             We use it here with their permission.
  19.  
  20. ---------------------------------------------------------------------------
  21. There is a vulnerability in the BSD-based printing software, lpr, available on
  22. a variety of Unix platforms. This vulnerability may allow local users to gain
  23. root privileges.
  24.  
  25. Exploit information involving this vulnerability has been publicly available
  26. for some time. Recently, the CERT/CC has received reports that the
  27. vulnerability is being actively exploited.
  28.  
  29. We recommend installing a vendor patch if one is available. Until you can do
  30. so, we recommend using the wrapper described in Section III.B.
  31.  
  32. We will update this advisory as we receive additional information.
  33. Please check our advisory files regularly for updates that relate to your
  34. site.
  35. ----------------------------------------------------------------------------
  36.  
  37. I.  Description
  38.  
  39.     A vulnerability exists in the BSD-based lpr printing package found on many
  40.     Unix systems.
  41.  
  42.     Due to insufficient bounds checking on arguments that are supplied by
  43.     users, it is possible to overwrite the internal stack space of the lpr
  44.     program while it is executing. This can allow an intruder to cause lpr to
  45.     execute arbitrary commands by supplying a carefully designed argument to
  46.     lpr. These commands will be run with the privileges of the lpr program.
  47.     When lpr is installed setuid or setgid, it may allow intruders to gain
  48.     those privileges.
  49.  
  50.     When lpr is setuid root, it may allow intruders to run arbitrary commands
  51.     with root privileges.
  52.  
  53.     For information from vendors relating to this vulnerability, please check
  54.     Appendix A of this advisory. In addition to the products mentioned, be
  55.     aware that platforms using the BSD-based lpr systems, in which lpr is
  56.     installed setuid or setgid, may also be vulnerable.
  57.  
  58.     Note also that the vulnerability described in this advisory is not present
  59.     in the LPRng printing package.
  60.  
  61. II. Impact
  62.  
  63.     Local users may gain root privileges. It is necessary to have access to an
  64.     account on the system to exploit this vulnerability.
  65.  
  66. III. Solution
  67.  
  68.     The lpr printing package is available on many different systems. As vendor
  69.     patches are made available sites are encouraged to install them. Until
  70.     vendor patches are available, we recommend applying the workaround
  71.     referred to in III.B.
  72.  
  73.     A. Install vendor patches
  74.  
  75.        Specific vendor information has been placed in Appendix A. If the BSD-
  76.        based lpr printing software is used and your vendor is not listed in
  77.        Appendix A, please contact your vendor directly.
  78.  
  79.     B. Install lpr wrapper
  80.  
  81.        Until you can install a vendor patch, we encourage you install a
  82.        wrapper developed by AUSCERT to help prevent lpr being exploited using
  83.        this vulnerability.
  84.  
  85.        The source for the wrapper, including installation instructions, can be
  86.        found at
  87.  
  88. ‹ftp://ftp.auscert.org.au/pub/auscert/tools/overflow_wrapper/overflow_wrapper.c
  89.  
  90.        This wrapper replaces the lpr program and checks the length of the
  91.        command line arguments which are passed to it. If an argument exceeds a
  92.        certain predefined value (MAXARGLEN), the wrapper exits without
  93.        executing the lpr command. The wrapper program can also be configured
  94.        to syslog any failed attempts to execute lpr with arguments exceeding
  95.        MAXARGLEN. For further instructions on using this wrapper, please read
  96.        the comments at the top of overflow_wrapper.c.
  97.  
  98.        When compiling overflow_wrapper.c for use with lpr, AUSCERT recommends
  99.        defining MAXARGLEN to be 32.
  100.  
  101.        The MD5 checksum for the current version of overflow_wrapper.c can be
  102.        retrieved from
  103.  
  104.        ‹ftp://ftp.auscert.org.au/pub/auscert/tools/overflow_wrapper/CHECKSUM
  105.  
  106.        The CHECKSUM file has been digitally signed using the AUSCERT PGP key.
  107.  
  108. ...........................................................................
  109. Appendix A  Vendor information
  110.  
  111. Below is a list of the vendors who have provided information. We will update
  112. this appendix as we receive additional information. If you do not see your
  113. vendor's name, please contact the vendor directly.
  114.  
  115. Berkeley Software Design, Inc. (BSDI)
  116. ======================================
  117.    BSD/OS 3.0 is not vulnerable to the problem.
  118.  
  119.    BSDI have issued a patch which addresses this vulnerability under
  120.    BSD/OS 2.1.  This patch is available from:
  121.  
  122.         ‹ftp://ftp.bsdi.com/pub/bsdi/patches/patches-2.1/U210-028
  123.  
  124. Digital Equipment Corporation
  125. =============================
  126.    Digital Equipment Corporation
  127.    Software Security Response Team
  128.    Copyright (c) Digital Equipment Corporation 1997. All rights reserved.
  129.  
  130.     This reported problem is not present for Digital's ULTRIX or
  131.     Digital UNIX Operating Systems Software.
  132.  
  133.                         - DIGITAL EQUIPMENT CORPORATION  06/19/97
  134.  
  135. FreeBSD
  136. =======
  137.    This problem was fixed prior to the release of FreeBSD 2.1.6 and 2.2.
  138.    Users running older versions of the OS should review the security
  139.    advisory describing this vulnerability (SA-96.18) at:
  140.  
  141.         ‹ftp://freebsd.org/pub/CERT/advisories/FreeBSD-SA-96:18.lpr.asc
  142.  
  143.    Patches can be found in the directory:
  144.  
  145.         ‹ftp://freebsd.org/pub/CERT/patches/SA-96:18
  146.  
  147. IBM Corporation
  148. ===============
  149.    AIX is not vulnerable to the lpr buffer overflow.  The version of lpr
  150.    shipped with AIX is not installed with the setuid bit turned on.
  151.  
  152.    IBM and AIX are registered trademarks of International Business Machines
  153.    Corporation.
  154.  
  155. Linux
  156. =====
  157.    The Linux Emergency Response Team have released a Linux Security FAQ
  158.    Update which addresses this vulnerability.  This Update contains
  159.    information regarding various Linux distributions.
  160.  
  161.    It is available from:
  162.  
  163.         ‹ftp://bach.cis.temple.edu/pub/Linux/Security/FAQ/updates/
  164.                    Update-11-25-1996.vulnerability-lpr-0.06-v1.2
  165.  
  166. NeXT
  167. ====
  168.    The NeXT group has addressed the vulnerability described in this advisory
  169.    in release 4.2 of OpenStep/Mach.
  170.  
  171. The Santa Cruz Operation, Inc. (SCO)
  172. ====================================
  173.    SCO has determined that the following SCO operating systems
  174.    are not vulnerable:
  175.  
  176.    - SCO CMW+ 3.0
  177.    - SCO Open Desktop/Open Server 3.0, SCO UNIX 3.2v4
  178.    - SCO OpenServer 5.0
  179.    - SCO UnixWare 2.1
  180.  
  181. Sun Microsystems, Inc.
  182. =====================
  183.    All versions of Solaris are not affected. SunOS 4.1.3_U1 and SunOS 4.1.4
  184.    are vulnerable. Sun recommends that sites using SunOS 4.1.3_U1 and SunOS
  185.    4.1.4 apply the workaround provided in this advisory.
  186.  
  187. ---------------------------------------------------------------------------
  188. The CERT Coordination Center staff thanks AUSCERT for permission to republish
  189. the information in their advisory AA-96.12. AUSCERT originally thanked
  190. Alexander O. Yuriev, the FreeBSD security team, IBM, and the CERT/CC for their
  191. assistance in the production of their advisory.
  192. ---------------------------------------------------------------------------
  193.  
  194. If you believe that your system has been compromised, contact the CERT
  195. Coordination Center or your representative in the Forum of Incident Response
  196. and Security Teams (see ‹http://www.first.org/team-info/).
  197.  
  198.  
  199. CERT/CC Contact Information
  200. ----------------------------
  201. Email    cert@cert.org
  202.  
  203. Phone    +1 412-268-7090 (24-hour hotline)
  204.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  205.                 and are on call for emergencies during other hours.
  206.  
  207. Fax      +1 412-268-6989
  208.  
  209. Postal address
  210.          CERT Coordination Center
  211.          Software Engineering Institute
  212.          Carnegie Mellon University
  213.          Pittsburgh PA 15213-3890
  214.          USA
  215.  
  216. Using encryption
  217.    We strongly urge you to encrypt sensitive information sent by email. We can
  218.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  219.    Location of CERT PGP key
  220.          ‹ftp://info.cert.org/pub/CERT_PGP.key
  221.  
  222. Getting security information
  223.    CERT publications and other security information are available from
  224.         ‹http://www.cert.org/
  225.         ‹ftp://info.cert.org/pub/
  226.  
  227.    CERT advisories and bulletins are also posted on the USENET newsgroup
  228.         comp.security.announce
  229.  
  230.    To be added to our mailing list for advisories and bulletins, send
  231.    email to
  232.         cert-advisory-request@cert.org
  233.  
  234.    In the subject line, type
  235.         SUBSCRIBE  your-email-address
  236.  
  237. ---------------------------------------------------------------------------
  238. * Registered U.S. Patent and Trademark Office.
  239.  
  240. Copyright 1997 Carnegie Mellon University
  241. This material may be reproduced and distributed without permission provided
  242. it is used for noncommercial purposes and the copyright statement is
  243. included.
  244.  
  245. The CERT Coordination Center is part of the Software Engineering Institute
  246. (SEI). The SEI is sponsored by the U.S. Department of Defense.
  247. ---------------------------------------------------------------------------
  248.  
  249. This file: ‹ftp://info.cert.org/pub/cert_advisories/CA-97.19.bsdlp
  250.            ‹http://www.cert.org
  251.                click on "CERT Advisories"
  252.  
  253.  
  254. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  255. Revision history
  256.