home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1995 #2 / Amiga Plus CD - 1995 - No. 2.iso / internet / faq / englisch / computer-security-patches < prev    next >
Encoding:
Text File  |  1995-04-11  |  37.3 KB  |  1,048 lines

  1. Archive-name: computer-security/security-patches
  2. Post-Frequency: monthly
  3. Last-modified: 1995/01/02
  4. Version: 2.1 
  5.  
  6. Security Patches FAQ
  7.  
  8. Version: 2.1
  9.     ------------------------------------------------------------------------
  10.  
  11. This Security FAQ is a resource provided by:
  12.  
  13.      Internet Security Systems, Inc.
  14.      2000 Miller Court West            Tel: (404) 441-2531
  15.      Norcross, Georgia  30071          Fax: (404) 441-2431
  16.  
  17.      - Computer Security Consulting - Penetration Analysis of Networks -
  18.  
  19.     ------------------------------------------------------------------------
  20.  
  21. To get the newest updates of Security files check the following services:
  22.  
  23.      mail info@iss.net with "send index" in message
  24.      http://iss.net/~iss
  25.      ftp iss.net /pub/faq/
  26.  
  27.     ------------------------------------------------------------------------
  28.  
  29.  
  30. Security Patches FAQ for your System: The Patch List
  31.  
  32. As new systems become accessible by networks there is a need for security. Many
  33. systems are shipped insecure which puts the responsibility on the customers to
  34. find and apply patches. This FAQ will be a guide for the many administrators
  35. who want to secure their systems.
  36.  
  37. This FAQ is broken down into the different sections:
  38.  
  39.   1. Generic Things to Look For
  40.   2. Type of Operating System and its Vulnerabilities.
  41.           AIX
  42.           DEC
  43.           HPUX
  44.           NEXT
  45.           SCO
  46.           Sun Microsystems
  47.           SGI
  48.   3. Particular Vulnerabilities
  49.           FTP
  50.           Sendmail
  51.           HTTPd (WWW)
  52.           Rdist
  53.           IP Spoofing attacks
  54.           Hijacking terminal connections
  55.   4. Unpatched Vulnerabilities (Bugs that the Vendor has not Fixed)
  56.  
  57.     ------------------------------------------------------------------------
  58.  
  59.  
  60. Part 1 - Generic Things to Look For
  61.  
  62.      Firewalling is one of the best methods of stopping pontential intruders.
  63.      Block all UDP traffic except for DNS and nameserver ports. Block all
  64.      source routing and rlogin and rsh at the router if possible.
  65.  
  66.       Run ISS (Internet Security Scanner) regulary. This package allows an
  67.      administrator to do an audit of the network and notify him of any security
  68.      misconfigurations or anomalies that allow intruders in therefore allowing
  69.      him to take corrective measures before his network is compromised. It is
  70.      available on aql.gatech.edu:/pub/security/iss
  71.  
  72.       Run Tiger regularly. It is available on net.tamu.edu:/pub/security/TAMU
  73.  
  74.      Password Security
  75.  
  76.            Use one-time password technology like s/key. This package makes
  77.           sniffing passwords useless since the password that goes over the
  78.           network is only used once. It is available on
  79.           ftp:thumper.bellcore.com:/pub/nmh/skey
  80.  
  81.            Shadowing passwords is useful against dictionary passwd cracking
  82.           attacks.
  83.  
  84.            Replace passwd with a program that will not allow your users to pick
  85.           easy passwords.
  86.  
  87.            Check for all easy-to-guess passwords with Crack which is available
  88.           on ftp.cert.org:/pub/tools/crack by Alec Muffett (alecm@sun.com) .
  89.  
  90.       Do a rpcinfo -p command and check to make sure rexd is not running.
  91.  
  92.       TFTP should be turned off unless needed because it can be used to grab
  93.      password files remotely.
  94.  
  95.       Make sure there is no '+' in /etc/hosts.equiv or any .rhosts.
  96.  
  97.       Make sure there are no '#' in /etc/hosts.equiv or any .rhosts.
  98.  
  99.       Make sure there are no funny commands in any .forward.
  100.  
  101.       Make sure there are no cleartext passwords in any .netrc.
  102.  
  103.       Do a showmount -e command to see your exports and make sure they are
  104.      restricted to only trusted hosts. Make sure all exports have an access
  105.      list.
  106.  
  107.       Use Xauthority when using X11 or openwin.
  108.  
  109.       You may want to remove the suid from rdist, chill, pstat, and arp. They
  110.      are known to cause security problems on generic default machine.
  111.  
  112.       Run tripwire regularly. It is available on
  113.      coast.cs.purdue.edu:/pub/COAST/Tripwire
  114.  
  115.       Run COPS regulary. It is available on ftp.cert.org:/pub/tools/cops
  116.  
  117.       Run a TCP Wrapper. It is available on
  118.      ftp.win.tue.nl:/pub/security/tcp_wrappers_6.3.shar.Z
  119.  
  120.       Identd may help locate accounts that intruders are using on remote and
  121.      local machines. It is on ftp.lysator.liu.se:/pub/ident/servers
  122.  
  123.     ------------------------------------------------------------------------
  124.  
  125.  
  126. Part 2 - Type of Operating System and its Vulnerabilities
  127.  
  128. To find some of the newer patches, using archie and xarchie can be a useful
  129. tool. Some caution must be used when using patches obtained from FTP sites. It
  130. is known that some ftp sites have been compromised in the past and files were
  131. replaced with trojans. Please verify the checksums for the patches.
  132.     ------------------------------------------------------------------------
  133.  
  134.  
  135. AIX
  136.  
  137. Fixdist is a X Windows front end to the AIX PTF (Patch) Database. Fixdist
  138. package available at ftp:aix.boulder.ibm.com
  139.  
  140. Fixdist requirements:
  141.  
  142.      Software:
  143.            AIX for RISC System/6000 Version 3.2.4 or above.
  144.            AIX TCPIP Facilities (bosnet.tcpip.obj)
  145.            AIXwindows 1.2.0 (X11R4) or AIXwindows 1.2.3 (X11R5).
  146.  
  147.      Connection Requirements
  148.            The fixdist utility communicates to the ftp server using anonymous
  149.           ftp. There is no mail transport or Telnet requirement. The server is
  150.           currently available only on the Internet. If you are able to download
  151.           the utility, you are fully enabled use fixdist.
  152.  
  153.      Fixdist does not "install" any PTFs onto your system. It just transfers
  154.      the fixes to a target directory on your RISC System/6000.
  155.  
  156. To turn off IP Forwarding and Source Routing, add the following to /etc/rc.net:
  157.  
  158.      /usr/sbin/no -o ipforwarding=0
  159.      /usr/sbin/no -o ipsendredirects=0
  160.      /usr/sbin/no -o nonlocsrcroute=0
  161.  
  162.     ------------------------------------------------------------------------
  163.  
  164.  
  165. DEC
  166.  
  167. Security kits are available from Digital Equipment Corporation by contacting
  168. your normal Digital support channel or by request via DSNlink for electronic
  169. transfer.
  170.  
  171. Digital Equipment Corporation strongly urges Customers to upgrade to a minimum
  172. of ULTRIX V4.4 and DEC OSF/1 V2.0 then apply the Security Enhanced Kit.
  173.  
  174. - Please refer to the applicable Release Note information prior to upgrading
  175. your installation.
  176.  
  177. KIT PART NUMBERS and DESCRIPTIONS
  178.  
  179. CSC PATCH #
  180.  
  181. CSCPAT_4060  V1.0   ULTRIX    V4.3 thru V4.4  (Includes DECnet-ULTRIX V4.2)
  182. CSCPAT_4061  V1.0   DEC OSF/1 V1.2 thru V2.0
  183.  
  184.          These kits will not install on versions previous to ULTRIX V4.3
  185.          or DEC OSF/1 V1.2.
  186.  
  187. The ULTRIX Security Enhanced kit replaces the following images:
  188. /usr/etc/comsat                 ULTRIX V4.3, V4.3a, V4.4
  189. /usr/ucb/lpr                    "                      "
  190. /usr/bin/mail                   "                      "
  191. /usr/lib/sendmail               "                      "
  192.                     *sendmail - is a previously distributed solution.
  193.  
  194. /usr/etc/telnetd                ULTRIX V4.3, V4.3a only
  195.  
  196. For DECnet-ULTRIX V4.2  installations:
  197.  
  198. /usr/etc/dlogind
  199. /usr/etc/telnetd.gw
  200.  
  201. The DEC OSF/1 Security Enhanced kit replaces the following images:
  202.  
  203. /usr/sbin/comsat                DEC OSF/1 V1.2, V1.3 V2.0
  204. /usr/bin/binmail
  205. /usr/bin/lpr                    "                       "
  206.  
  207. /usr/sbin/sendmail              DEC OSF/1 V1.2, V1.3  only
  208.                     *sendmail - is a previously distributed solution.
  209. /usr/bin/rdist                  "                       "
  210. /usr/shlib/libsecurity.so       DEC OSF/1 V2.0 only
  211.  
  212.     ------------------------------------------------------------------------
  213.  
  214.  
  215. HPUX
  216.  
  217. In order to retrieve any document that is described in this index, send the
  218. following in the TEXT PORTION OF THE MESSAGE to
  219. support@support.mayfield.hp.com:
  220.  
  221. send doc xxxxxxxxxxxx
  222.  
  223. Summary of 'Security Bulletins Index' documents
  224.  
  225. Document Id    Description
  226. HPSBUX9411-019 Security Vulnerability in HP SupportWatch
  227. HPSBUX9410-018 Security Vulnerability in xwcreate/gwind
  228. HPSBUX9409-017 Security Vulnerability in CORE-DIAG fileset
  229. HPSBUX9408-000 Sum and MD5 sums of HP-UX Security Bulletins
  230. HPSBUX9408-016 Patch sums and the MD5 program
  231. HPSBUX9407-015 Xauthority problem
  232. HPSBUX9406-014 Patch file permissions vulnerability
  233. HPSBUX9406-013 vhe_u_mnt allows unauthorized root access
  234. HPSBUX9405-011 Security Vulnerability in HP GlancePlus
  235. HPSBUX9405-009 PROBLEM:  Incomplete implementation of OSF/AES standard
  236. HPSBUX9405-010 ftpd: SITE CHMOD / race condition vulnerability
  237. HPSBUX9405-012 Security vulnerability in Multimedia Sharedprint
  238. HPSBUX9404-007 HP-UX does not have ftpd SITE EXEC vulnerability
  239. HPSBUX9404-008 Security Vulnerability in Vue 3.0
  240. HPSBUX9402-006 Security Vulnerability in DCE/9000
  241. HPSBUX9402-005 Security Vulnerability in Hpterm
  242. HPSBUX9402-004 Promiscuous mode network interfaces
  243. HPSBUX9402-003 Security Vulnerability in Subnetconfig
  244. HPSBUX9312-002 Security Vulnerability in Xterm
  245. HPSBUX9311-001 Security Vulnerability in Sendmail
  246.  
  247. If you would like to obtain a list of additional files available via the HP
  248. SupportLine mail service, send the following in the TEXT PORTION OF THE MESSAGE
  249. to support@support.mayfield.hp.com:
  250.  
  251.      send file_list
  252.  
  253. or to get the newest security patch list:
  254.  
  255.      send security_info_list
  256.  
  257. HP-patches and patch-information are available by WWW:
  258.  
  259.   1.  with URL http://support.mayfield.hp.com/slx/html/ptc_hpux.html
  260.      http://support.mayfield.hp.com/slx/html/ptc_get.html
  261.  
  262.   2.  or by appending the following lines to your $HOME/.mosaic-hotlist-default
  263.      and using the --> navigate --> hotlist option.
  264.  
  265. HP has a list of checksums for their security patches. Highly recommended you
  266. always compare patches with the checksum for corruption and trojans.
  267.     ------------------------------------------------------------------------
  268.  
  269.  
  270. NEXT
  271.  
  272. There are some security patches on ftp.next.com:/pub/NeXTanswers/Files/Patches
  273.  
  274.      SendmailPatch.23950.1
  275.      RestorePatch.29807.16
  276.  
  277. ftp.next.com:/pub/NeXTanswers/Files/Security contains some security advisories.
  278.  
  279. Be sure to check for Rexd and uuencode alias.
  280.     ------------------------------------------------------------------------
  281.  
  282.  
  283. SCO Unix
  284.  
  285. Current releases of SCO UNIX (3.2v4.2) and Open Desktop (3.0) has the following
  286. security patches available:
  287.  
  288.      uod368b -- passwd
  289.      oda377a -- xterm, scoterm, scosession, clean_screen
  290.  
  291. These can be downloaded from ftp.sco.com:/SLS. First get the file "info" which
  292. lists the actual filenames and descriptions of the supplements.
  293.  
  294. Security problems were made aware by 8LGM in the following programs for SCO:
  295.  
  296.       at(C)
  297.       login(M)
  298.       prwarn(C)
  299.      sadc(ADM)
  300.       pt_chmod
  301.  
  302. These programs, which allowed regular users to become SuperUser (root), affect
  303. the following SCO Products:
  304.  
  305.       SCO Unix System V/386 Release 3.2 Versions 4.2, 4.1, and 4.0
  306.       SCO Open Desktop Lite Release 3.0
  307.       SCO Open Desktop Release 3.0 and 2.0
  308.       SCO Open Server Network System Release 3.0
  309.       SCO Open Server Enterprise System Release 3.0
  310.  
  311. You need the following patches which are available at ftp.sco.com:/SSE:
  312.  
  313.      Binary             Patch
  314.      ------             ------
  315.      at(C)              sse001
  316.      login(M)           sse002
  317.      prwarn(C)          sse003
  318.      sadc(ADM)          sse004
  319.      pt_chmod           sse005
  320.  
  321. To contact SCO, send electronic mail to support@sco.com.
  322.  
  323.     ------------------------------------------------------------------------
  324.  
  325.  
  326. Sun Microsystems, Inc. SunOS 4.x and Solaris 2.x
  327.  
  328. Patches may be obtained via anonymous ftp from ftp.uu.net:/systems/sun/sun-dist
  329. or from local Sun Answer Centers worldwide. Sun makes lists of recommended
  330. patches (including security patches) available to customers with support
  331. contracts via its Answer Centers and the SunSolve service. The lists are
  332. uploaded on an informal basis to the ftp.uu.net patch repository maintained by
  333. Sun for other customers, and posted periodically on the comp.security.unix
  334. newsgroup.
  335.  
  336. Patches are also available via anonymous ftp from
  337. sunsolve1.sun.com:/pub/patches online.sunsolve.sun.co.uk:/patches/SECURITY/ALL
  338.  
  339. Check out the the sunsolve www-page at http://online.sunsolve.sun.co.uk/
  340.  
  341. Below is a list of security patches that should be implemented. Please use
  342. Sun's patch list for the authoritative answer. If you see any discrepencies
  343. please notify Christopher Klaus (cklaus@iss.net).
  344.  
  345. 100075-11       rpc.lockd jumbo patch
  346. 100103-11       script to change file permissions to a more secure mode
  347. 100170-10       jumbo-patch ld-1.144 shared LD_LIBRARY_PATH -Bstatic SPARCworks
  348. 100173-09       NFS Jumbo Patch
  349. 100178-08       netd "broken server detection" breaks on fast machines
  350. 100249-09       automounter jumbo patch
  351. 100272-07       security hole in utmp writable
  352. 100283-03       in.routed mishandles gateways, multiple routes
  353. 100296-04       rpc.mountd exports to the world
  354. 100305-14       lpr package
  355. 100338-05       system crashes with assertion failed panic.(may be obsolete)
  356. 100342-03       NIS client needs long recovery time if server reboots
  357. 100359-06       streams jumbo patch
  358. 100383-06       rdist can be used to get root access
  359. 100421-03       rpc.rexd does not log appropriate accounting messages
  360. 100448-01       loadmodule
  361. 100482-04       ypxfrd exporting NIS maps to everybody
  362. 100507-04       tmpfs jumbo patch
  363. 100527-03       rsh uses old-style selects instead of 4.0 selects
  364. 100536-02       NFS can cause panic: assertion failed crashes
  365. 100557-02       ftp Jumbo patch
  366. 100564-07       C2 Jumbo patch
  367. 100567-04       mfree panic due to mbuf being freed twice
  368. 100593-03       security hole in utmp writable
  369. 100623-03       UFS jumbo patch
  370. 100909-02       security hole in utmp writable
  371. 101480-01       security hole in utmp writable
  372. 101481-01       security hole in utmp writable
  373. 101482-01       security hole in utmp writable
  374. 102060-01       Fixes the passwd -F hole.
  375. 101436-08       Fix for /bin/mail
  376.  
  377. Solaris 2.2 Recommended Patches:
  378.  
  379. 100982-03  SunOS 5.2: fixes for kernel/fs/fifofs
  380. 100992-03  SunOS 5.2: streams related panics involving local transport
  381. 100999-71  SunOS 5.2: kernel jumbo patch
  382. 101014-05  SunOS 5.2: fixes for usr/lib/libsocket
  383. 101022-06  SunOS 5.2: NIS/NIS+ jumbo patches
  384. 101025-14  SunOS 5.2: Jumbo patch fixes for lp system
  385. 101031-02  SunOS 5.2: file descriptor limit is too low on inetd
  386. 101090-01  SunOS 5.2: fixes security hole in expreserve
  387. 101096-02  SunOS 5.2: fixes for rpcbind
  388. 101109-04  SunOS 5.2: fixes problems with ldterm, ptm, pts
  389. 101122-07  SunOS 5.2: fixes for the packaging utilities
  390. 101301-03  SunOS 5.2: security bug & tar fixes
  391. 101348-01  SunOS 5.2: system hangs due to mblk memory leak
  392.  
  393. Solaris 2.3 Recommended Patches:
  394.  
  395. 101317-11  SunOS 5.3: lp jumbo patch
  396. 101318-59  SunOS 5.3: Jumbo patch for kernel (includes libc, lockd)
  397. 101327-08  SunOS 5.3: security and miscellaneous tar fixes
  398. 101331-05  SunOS 5.3: fixes for package utilities
  399. 101344-11  SunOS 5.3: Jumbo NFS patch security
  400. 101347-02  SunOS 5.3: fixes for ttcompat
  401. 101615-02  SunOS 5.3: miscellaneous utmp fixes
  402. 101631-02  SunOS 5.3: kd and ms fixes
  403. 101712-01  SunOS 5.3: uucleanup isn't careful enough when sending mail
  404. 102034-01  SunOS 5.3: portmapper security hole
  405. 101889-03  OpenWindows 3.3: filemgr forked executable ff.core has a se
  406.  
  407. Solaris 2.4 Recommended Patches:
  408.  
  409. 101945-13  SunOS 5.4: jumbo patch for kernel
  410. 101959-02  SunOS 5.4: lp jumbo patch
  411. 101981-01  SunOS 5.4: SECURITY: su can display root password in the co
  412. 102007-01  SunOS 5.4: vnode v_count is not maintained correctly
  413. 102044-01  SunOS 5.4: bug in mouse code makes "break root" attack poss
  414. 102070-01  SunOS 5.4: Bugfix for rpcbind/portmapper
  415.  
  416. Sendmail patches are important. Check out Sendmail section.
  417.  
  418. Turn off IP-Forward on SunOs Kernel and kmem via:
  419.  
  420.      "echo ip_forwarding/W 0" | adb -w /vmunix /dev/kmem
  421.  
  422. To turn off source routed packets on Solaris 2.X. Edit /etc/rc.2.d/S69.inet and
  423. change
  424.  
  425.      ndd -set /dev/ip ip_forwarding 0
  426.      ndd -set /dev/ip ip_ip_forward_src_routed 0
  427.  
  428. reboot.
  429.  
  430. Source routing patch for SunOs 4.1.x
  431. ftp.greatcircle.com:/pub/firewalls/digest/v03.n153.Z
  432.  
  433. To Secure a Sun console physically:
  434. (for desktop sparc models)
  435.  
  436.      $su
  437.      #eeprom security-mode=command
  438.      Password:
  439.      Retype password:
  440.      #
  441.  
  442. (for other models)
  443.  
  444.      $su
  445.      #eeprom secure=command
  446.      Password:
  447.      Retype password:
  448.      #
  449.  
  450. This restricts access to the new command mode.
  451.  
  452. Remove suid from crash, devinfo. These both are known to be exploitable on some
  453. Sun and are rarely used.
  454. The following is a package of patches for SunOs from Australian group SERT:
  455. ftp.sert.edu.au:/security/sert/tools/MegaPatch.1.7.tar.Z
  456.  
  457. Solaris 2.x Patches
  458.  
  459. Here are some file permission problems that exist on Solaris 2.3 and maybe
  460. exist on Solaris 2.4 that you should check and correct. Many file permission
  461. problems are fixed with a fix-mode module in the auto-install package:
  462.  
  463. ftp.fwi.uva.nl:/pub/solaris/auto-install/* .
  464.  
  465. After each patch installation, you will need to re-run the fix-mode.
  466.  
  467.   1.  Problem: As distributed, /opt/SUNWdxlib contains many _world_ writeable
  468.      files, including executables. A trojan may be inserted into an executable
  469.      by any user allowing them access to the accounts of anyone executing it.
  470.  
  471.      Solution:
  472.  
  473.           "find /opt/SUNWdxlib -exec chmod go-w {} \;"
  474.  
  475.      Fix-modes will do a better job correcting permissions. You can do a simple
  476.      check for trojans with:
  477.  
  478.           "pkgchk SUNWdxlib".
  479.  
  480.   2.  Problem: By default, /var/nis/{hostname}.dict is _world_ writeable. "man
  481.      -s4 nisfiles" says "This file is a dictionary that is used by the NIS+
  482.      database to locate its files." A quick look at it will show things like
  483.      "/var/nis/{hostname}/passwd.org_dir". By changing this to, say,
  484.      "/tmp/{hostname}/passwd.org_dir", it _may_ be possible to replace the NIS+
  485.      password (or any arbitrary) map with a bogus one. There are also many
  486.      files in /var/nis/{hostname} that are world writeable. However, since
  487.      /var/nis/{hostname} is root owned, mode 700, this shouldn't be a problem.
  488.      It also shouldn't be necessary. All the files in /var/nis/{hostname} are
  489.      world readable which is not a good way to have shadow passwords.
  490.  
  491.      Solution: By putting a "S00umask.sh" with contents "umask 022" in each
  492.      /etc/rc?.d it will make sure that all daemons will start with an umask of
  493.      022.
  494.  
  495.      The default umask really should be 022, not 0.
  496.  
  497.      "strings /var/nis/{hostname}.dict" to make sure all the paths are sane,
  498.      then to correct permissions:
  499.  
  500.           "chmod 644 /var/nis/{hostname}.dict"
  501.           "chmod 700 /var/nis/{hostname}"
  502.           "chmod 600 /var/nis/{hostname}/*"
  503.  
  504.   3.  Problem: /etc/hostname.le0 is _world_ writeable. This allows anyone to
  505.      change the address of the ethernet interface.
  506.  
  507.      Solution:
  508.  
  509.           "chmod 644 /etc/hostname.le0"
  510.  
  511.   4.  Problem: /var/statmon, /var/statmon/sm, and /var/statmon/sm.bak are
  512.      _world_ writeable directories. They are used by statd to "provide the
  513.      crash and recovery functions for the locking services of NFS. You could
  514.      trick an NFS client into thinking a server crashed.
  515.  
  516.      Solution:
  517.  
  518.           "find /var/statmon -exec chmod o-w {} \;"
  519.  
  520.   5.  Problem: The following files are _world_ writeable:
  521.  
  522.           /var/adm/vold.log
  523.           /var/log/syslog*
  524.           /var/lp/logs/lpsched
  525.           /var/lp/logs/lpNet
  526.           /etc/mnttab
  527.           /etc/path_to_inst.old
  528.           /var/saf/_log
  529.           /etc/rmtab
  530.  
  531.      Solution: It may not be possible to tighten up permissions on all the
  532.      world writeable files out there without breaking something. However, it'd
  533.      be a good idea to at least know what they are. Something like:
  534.  
  535.           "find / -user root \( -type d -o -type f \) -perm -2 -ls"
  536.  
  537.      will at least let you know which files may contain bogus information.
  538.      Checking for other than root, bin, sys, lp, etc. group writeable files
  539.      would be a good idea as well.
  540.  
  541.   6.  Problem: Solaris still ships /usr/kvm/crash mode 2755 which allows anyone
  542.      to read kmem.
  543.  
  544.      Solution: Change permission to 0755.
  545.  
  546.   7.  Problem: /etc, /usr/ and /usr/sys may have mode 775 which allows groups
  547.      to write over files.
  548.  
  549.      Solution: Change permissions to 755.
  550.  
  551.     ------------------------------------------------------------------------
  552.  
  553.  
  554. SGI
  555.  
  556. ftp.sgi.com and sgigate.sgi.com have a "/security" directory.
  557.  
  558. {3.3,4.0,5.0} including sendmail and lpr. lpr allowed anyone to get root
  559. access.
  560.  
  561. Patch65 and patch34 correct vulnerability in SGI help system which enabled
  562. users to gain root priviledges.
  563.  
  564.                 Standard      System V       MD5
  565.                 Unix          Unix           Digital Signature
  566. patch34.tar.Z:  11066 15627   1674 31253     2859d0debff715c5beaccd02b6bebded
  567. patch65.tar:    63059 1220    15843 2440     af8c120f86daab9df74998b31927e397
  568.  
  569. Check for the Following: Default accounts with no passwords: 4DGifts, lp,
  570. nuucp, demos, tutor, guest, tour
  571.  
  572. To Disable IP_Forwarding on SGI:
  573. edit /usr/sysgen/master.d
  574. change int ipforwarding = 1 to 0;
  575. then recompile kernel by autoconfig -f; for IRIX 4.0.5
  576.  
  577. Remove suid from /usr/sbin/colorview
  578. Remove suid from /usr/lib/vadmin/serial_ports on Irix 4.X
  579. Remove suid from /usr/lib/desktop/permissions
  580. Remove suid from /usr/bin/under
  581.  
  582. /usr/etc/arp is setgid sys in IRIX up to and including 5.2, allowing anyone who
  583. can log into your machine to read files which should be readable only by group
  584. 'sys'.
  585. Remove suid from /usr/sbin/cdinstmgr
  586. Remove suid from /etc/init.d/audio
  587. chmod g-w /usr/bin/newgrp
  588.  
  589. /usr/sbin/printers has a bug in IRIX 5.2 (and possibly earlier 5.x versions)
  590. which allows any user to become root.
  591.  
  592. /usr/sbin/sgihelp has a bug in IRIX 5.2 (and possibly earlier 5.x versions)
  593. which allows any user to become root. This is so bad that the patch is FTPable
  594. from ftp.sgi.com:/security/, and SGI is preparing a CD containing only that
  595. patch.
  596.  
  597. The version of inst which comes with patch 34, which is required for
  598. installation of all other patches (even those with lower numbers) saves old
  599. versions of binaries in /var/inst/patchbase. It does not remove execution or
  600. setuid permissions.
  601.  
  602. Irix has many built-in security knobs that you should know how to turn them on.
  603.  
  604. Manpage                 Things to look for
  605. -------         ---------------------------------------------------
  606.  
  607. login           setup /etc/default/login to log all attempts with
  608.                 SYSLOG=ALL, add support for external authentication
  609.                 programs with SITECHECK=/path/to/prog
  610.  
  611. portmap         use '-a  mask,match' to restrict most of the portmap
  612.                 services to a subset of hosts or networks
  613.                 use '-v' to log all unprivileged accesses to syslog
  614.  
  615. rshd            use '-l' to disable validation using .rhosts files
  616.                 use '-L' to log all access attempts to syslog
  617.  
  618. rlogind         use '-l' to disable validation using .rhosts files
  619.                 (beware, this was broken prior to IRIX 5.3)
  620.  
  621. fingerd         use '-l' to log all connections
  622.                 use '-S' to suppress information about login status,
  623.                 home directory, and shell
  624.                 use '-f msg-file' to make it just display that file
  625.  
  626. ipfilterd       IP packet filtering daemon
  627.  
  628.     ------------------------------------------------------------------------
  629.  
  630.  
  631. Part 3 - Particular Vulnerabilities
  632.  
  633. Ftp
  634.  
  635. Check the Secure Anonymous FTP FAQ for the latest ftp daemons that you need to
  636. install.
  637.  
  638. Sendmail Patches
  639.  
  640. IBM Corporation
  641.  
  642. A possible security exposure exists in the bos.obj sendmail subsystem in all
  643. AIX releases.
  644.  
  645. The user can cause arbitrary data to be written into the sendmail queue file.
  646. Non-privileged users can affect the delivery of mail, as well as run programs
  647. as other users.
  648.  
  649. Workaround
  650.  
  651. A. Apply the patch for this problem. The patch is available from
  652. software.watson.ibm.com. The files will be located in the /pub/aix/sendmail in
  653. compressed tar format. The MD5 checksum for the binary file is listed below,
  654. ordinary "sum" checksums follow as well.
  655.  
  656.  
  657.            File            sum             MD5 Checksum
  658.            ----            ---             ------------
  659.            sendmail.tar.Z 35990           e172fac410a1b31f3a8c0188f5fd3edb
  660.  
  661. B. The official fix for this problem can be ordered as Authorized Program
  662. Analysis Report (APAR) IX49257
  663.  
  664. To order an APAR from IBM in the U.S. call 1-800-237-5511 and ask for shipment
  665. as soon as it is available (in approximately two weeks). APARs may be obtained
  666. outside the U.S. by contacting a local IBM representative.
  667.  
  668. Motorola Computer Group (MCG)
  669.  
  670. The following MCG platforms are vulnerable:
  671.  
  672.      R40
  673.      R32 running CNEP add-on product
  674.      R3 running CNEP add-on product
  675.  
  676. The following MCG platforms are not vulnerable:
  677.  
  678.      R32 not including CNEP add-on product
  679.      R3 not including CNEP add-on product
  680.      R2
  681.      VMEEXEC
  682.      VERSADOS
  683.  
  684. The patch is available and is identified as "patch_43004 p001" or "SCML#5552".
  685. It is applicable to OS revisions from R40V3 to R40V4.3. For availability of
  686. patches for other versions of the product contact your regional MCG office at
  687. the numbers listed below.
  688.  
  689. Obtain and install the appropriate patch according to the instructions included
  690. with the patch.
  691.  
  692. The patch can be obtained through anonymous ftp from ftp.mcd.mot.com
  693. [144.191.210.3] in the pub/patches/r4 directory. The patch can also be obtained
  694. via sales and support channels. Questions regarding the patch should be
  695. forwarded to sales or support channels.
  696.  
  697. For verification of the patch file:
  698.  
  699.         Results of      sum -r  == 27479 661
  700.                         sum     == 32917 661
  701.                         md5     == 8210c9ef9441da4c9a81c527b44defa6
  702.  
  703. Contact numbers for Sales and Support for MCG:
  704.  
  705.      United States (Tempe, Arizona)
  706.      Tel: +1-800-624-0077
  707.      Fax: +1-602-438-3865
  708.  
  709.      Europe (Brussels, Belgium)
  710.      Tel: +32-2-718-5411
  711.      Fax: +32-2-718-5566
  712.  
  713.      Asia Pacific / Japan (Hong Kong)
  714.      Tel: +852-966-3210
  715.      Fax: +852-966-3202
  716.  
  717.      Latin America / Australia / New Zealand (U.S.)
  718.      Tel: +1 602-438-5633
  719.      Fax: +1 602-438-3592
  720.  
  721. Open Software Foundation
  722.  
  723. The local vulnerability described in the advisory can be exploited in OSF's
  724. OSF/1 R1.3 (this is different from DEC's OSF/1). Customers should apply the
  725. relevant portions of cert's fix to their source base. For more information
  726. please contact OSF's support organization at osf1-defect@osf.org.
  727.  
  728. The Santa Cruz Operation
  729.  
  730. SCO systems are not vulnerable to the IDENT problem. Systems running the MMDF
  731. mail system are not vulnerable to the remote or local problems.
  732.  
  733. The following releases of SCO products are vulnerable to the local problems.
  734.  
  735.      SCO TCP/IP 1.1.x for SCO Unix System V/386 Operating System Release
  736.      3.2
  737.      Versions 1.0 and 2.0
  738.      SCO TCP/IP 1.2.x for SCO Unix System V/386 Operating System Release
  739.      3.2
  740.      Versions 4.x
  741.      SCO TCP/IP 1.2.0 for SCO Xenix System V/386 Operating System Release
  742.      2.3.4
  743.  
  744.      SCO Open Desktop Lite Release 3.0
  745.      SCO Open Desktop Release 1.x, 2.0, and 3.0
  746.      SCO Open Server Network System, Release 3.0
  747.      SCO Open Server Enterprise System, Release 3.0
  748.  
  749. Patches are currently being developed for the release 3.0 and 1.2.1 based
  750. products. The latest sendmail available from SCO, on Support Level Supplement
  751. (SLS) net382d, is also vulnerable.
  752.  
  753. Contacts for further information:
  754.  
  755. e-mail: support@sco.COM
  756.  
  757. USA, Canada, Pacific Rim, Asia, Latin America 6am-5pm Pacific Daylight Time
  758. (PDT)
  759.  
  760. 1-408-425-4726 (voice)
  761. 1-408-427-5443 (fax)
  762.  
  763. Europe, Middle East, Africa: 9am-5:30pm British Standard Time (BST)
  764.  
  765. +44 (0)923 816344 (voice)
  766. +44 (0)923 817781 (fax)
  767.  
  768. Sequent Computer Systems
  769.  
  770. Sequent customers should contact Sequent Customer Service and request the
  771. Fastpatch for sendmail.
  772.  
  773. phone: 1-800-854-9969.
  774. e-mail: service-question@sequent.com
  775.  
  776. Silicon Graphics, Inc.
  777.  
  778. At the time of writing of this document, patches/binaries are planned for IRIX
  779. versions 4.x, 5.2, 5.3, 6.0, and 6.0.1 and will be available to all SGI
  780. customers.
  781.  
  782. The patches/binaries may be obtained via anonymous ftp (ftp.sgi.com) or from
  783. your support/service provider.
  784.  
  785. On the anonymous ftp server, the binaries/patches can be found in either
  786. ~ftp/patches or ~ftp/security directories along with more current pertinent
  787. information.
  788.  
  789. For any issues regarding this patch, please, contact your support/service
  790. provider or send email to cse-security-alert@csd.sgi.com .
  791.  
  792. Sony Corporation
  793.  
  794.         NEWS-OS 6.0.3   vulnerable; Patch SONYP6022 [sendmail] is available.
  795.         NEWS-OS 6.1     vulnerable; Patch SONYP6101 [sendmail] is available.
  796.         NEWS-OS 4.2.1   vulnerable; Patch 0101 [sendmail-3] is available.
  797.                         Note that this patch is not included in 4.2.1a+.
  798.  
  799. Patches are available via anonymous FTP in the /pub/patch/news-os/un-official
  800. directory on ftp1.sony.co.jp [202.24.32.18]:
  801.  
  802.         4.2.1a+/0101.doc        describes about patch 0101 [sendmail-3]
  803.         4.2.1a+/0101_C.pch      patch for NEWS-OS 4.2.1C/a+C
  804.         4.2.1a+/0101_R.pch      patch for NEWS-OS 4.2.1R/RN/RD/aRD/aRS/a+R
  805.  
  806.         6.0.3/SONYP6022.doc     describes about patch SONYP6022 [sendmail]
  807.         6.0.3/SONYP6022.pch     patch for NEWS-OS 6.0.3
  808.  
  809.         6.1/SONYP6101.doc       describes about patch SONYP6101 [sendmail]
  810.         6.1/SONYP6101.pch       patch for NEWS-OS 6.1
  811.  
  812.         Filename                BSD             SVR4
  813.                                 Checksum        Checksum
  814.         --------------          ---------       ---------
  815.         4.2.1a+/0101.doc        55361 2         19699 4
  816.         4.2.1a+/0101_C.pch      60185 307       25993 614
  817.         4.2.1a+/0101_R.pch      35612 502       31139 1004
  818.         6.0.3/SONYP6022.doc     03698 2         36652 4
  819.         6.0.3/SONYP6022.pch     41319 436       20298 871
  820.         6.1/SONYP6101.doc       40725 2         3257 3
  821.         6.1/SONYP6101.pch       37762 434       4624 868
  822.  
  823.         MD5 checksums are:
  824.         MD5 (4.2.1a+/0101.doc) = c696c28abb65fffa5f2cb447d4253902
  825.         MD5 (4.2.1a+/0101_C.pch) = 20c2d4939cd6ad6db0901d6e6d5ee832
  826.         MD5 (4.2.1a+/0101_R.pch) = 840c20f909cf7a9ac188b9696d690b92
  827.         MD5 (6.0.3/SONYP6022.doc) = b5b61aa85684c19e3104dd3c4f88c5c5
  828.         MD5 (6.0.3/SONYP6022.pch) = 1e4d577f380ef509fd5241d97a6bcbea
  829.         MD5 (6.1/SONYP6101.doc) = 62601c61aef99535acb325cf443b1b25
  830.         MD5 (6.1/SONYP6101.pch) = 87c0d58f82b6c6f7811750251bace98c
  831.  
  832. If you need further information, contact your vendor.
  833.  
  834. Solbourne
  835.  
  836. Grumman System Support Corporation now performs all Solbourne software and
  837. hardware support. Please contact them for further information.
  838.  
  839. e-mail: support@nts.gssc.com
  840. phone: 1-800-447-2861
  841.  
  842. Sun Microsystems, Inc.
  843.  
  844. Sun has developed patches for all supported platforms and architectures,
  845. including Trusted Solaris, Solaris x86, and Interactive Unix. Note that Sun no
  846. longer supports the sun3 architecture and versions of the operating system that
  847. precede 4.1.3.
  848.  
  849. Current patches are listed below.
  850.  
  851.          OS version      Patch ID    Patch File Name
  852.          ----------      ---------   ---------------
  853.          4.1.3           100377-19   100377-19.tar.Z
  854.          4.1.3_U1        101665-04   101665-04.tar.Z
  855.          5.3             101739-07   101739-07.tar.Z
  856.          5.4             102066-04   102066-04.tar.Z
  857.          5.4_x86         102064-04   102064-04.tar.Z
  858.  
  859. The patches can be obtained from local Sun Answer Centers and through anonymous
  860. FTP from ftp.uu.net in the /systems/sun/sun-dist directory. In Europe, the
  861. patches are available from mcsun.eu.net in the /sun/fixes directory.
  862.  
  863. The patches are also available through the usual URL on World Wide Web.
  864.  
  865. Sun is issuing Security Bulletin #129 with details on February 22; the patches
  866. will become available worldwide during the 24 hours to follow.
  867.  
  868. HTTPd (WWW)
  869.  
  870. There is a bug in NCSA v1.3 HTTP Web server that allows anyone to execute
  871. commands remotely. The bug is due to overwriting a buffer. Please get the
  872. newest patch from ftp.ncsa.uiuc.edu.
  873.  
  874. Rdist Patches
  875.  
  876. (Unless you really need rdist, chmod 000 rdist works fine.)
  877.  
  878. Apollo Domain/OS SR10.3 and SR10.3.5 (Fixed in SR10.4)
  879. a88k PD92_P0316
  880. m68k PD92_M0384
  881.  
  882. Cray Research, Inc. UNICOS 6.0/6.E/6.1 Field Alert #132 SPR 47600
  883.  
  884. IBM RS/6000 AIX levels 3005, 2006, 2007, and 3.2 apar ix23738
  885. Patches may be obtained by calling Customer Support at 1-800-237-5511.
  886.  
  887. NeXT Computer, Inc. NeXTstep Release 2.x
  888. Rdist available on the public NeXT FTP archives.
  889.  
  890. Silicon Graphics IRIX 3.3.x/4.0 (fixed in 4.0.1) Patches may be obtained via
  891. anonymous ftp from sgi.com in the sgi/rdist directory.
  892.  
  893. Solbourne OS/MP 4.1A Patch ID P911121003
  894.  
  895. Sun Microsystems, Inc. SunOS 4.0.3/4.1/4.1.1 Patch ID 100383-06
  896.  
  897. IP Spoofing Vulnerabilities
  898.  
  899. IP Spoofing attacks allow an intruder to send packets as if they were coming
  900. from a trusted host and some services based on IP based authenication allow an
  901. intruder to execute commands. Because these packets appear to come from a
  902. trusted host, it may be possible to by-pass firewall security. IP Spoofing is
  903. more detailed in the following papers:
  904.  
  905.       "Security Problems in the TCP/IP Protocol Suite" by Steve Bellovin. It is
  906.      available for ftp from research.att.com:/dist/internet_security/ipext.ps.Z
  907.  
  908.       "A Weakness in the 4.2BSD Unix TCP/IP Software," by Robert T. Morris. It
  909.      is available for ftp from
  910.      research.att.com:/dist/internet_security/117.ps.Z
  911.  
  912. Some of the services based on IP authenication are:
  913.  
  914.       Rsh
  915.       Rlogin
  916.       NFS
  917.       NIS
  918.       X Windows
  919.       Services secured by TCP Wrappers access list.
  920.  
  921. It can help turn off these services especially Rsh and Rlogin.
  922.  
  923. You can filter out IP spoofed packets with certian routers with the use of the
  924. input filter. Input filter is a feature on the following routers:
  925.  
  926.       Bay Networks/Wellfleet, version 5 and later
  927.       Cabletron with LAN Secure
  928.       Cisco, RIS software version 9.21 and later
  929.       Livingston
  930.       NSC
  931.  
  932. TCP Wrapper in conjunction with Identd can help to stop IP spoofing because
  933. then the intruder must not not only spoof the connection to Rsh/Rlogin, they
  934. must spoof the information to identd which is not as trivial.
  935.  
  936. TCP Wrapper is available on ftp.win.tue.nl:/pub/security/tcp_wrappers_6.
  937. 3.shar.Z
  938.  
  939. Identd is available on ftp.lysator.liu.se:/pub/ident/servers
  940.  
  941. Add the following to TCP Wrappers access list:
  942.  
  943.      ALL: UNKNOWN@ALL: DENY
  944.  
  945. This will drops all TCP connections where ident lookup fails.
  946.  
  947. Hijacking terminal connections
  948.  
  949. Intruders are using a kernel module called TAP that initially was used for
  950. capturing streams which allows you to view what a person is typing. You can use
  951. it to write to someone's steam, thus emulating that person typing a command and
  952. allowing an intruder to "hijack" their session.
  953.  
  954. Tap is available on ftp.sterling.com /usenet/alt.sources/volume92/Mar in the
  955. following files:
  956.  
  957.      920321.02.Z TAP - a STREAMS module/driver monitor (1.1)
  958.      920322.01.Z TAP - a STREAMS module/driver monitor (1.5) repost
  959.      920323.17.Z TAP - BIG BROTHERS STREAMS TAP DRIVER (1.24)
  960.  
  961. An intruder needs to install TAP as root. Therefore if you have installed all
  962. patches and taken the necessary precautions to eliminate ways to obtain root,
  963. the intruder has less chance of installing TAP. You can disable loadable
  964. modules on SunOs 4.1.x by editing the kernel configuraion file found in
  965. /sys/`arch -k`/conf directory and comment out the following line with a "#"
  966. character:
  967.  
  968.      options VDDRV # loadable modules
  969.  
  970. Then build and install the new kernel:
  971.  
  972.      # /etc/config CONFIG_NAME
  973.      # cd ../CONFIG_NAME
  974.      # make
  975.      # cp /vmunix /vmunix.orig
  976.      # cp vmunix /
  977.      # sync; sync; sync
  978.  
  979. Reboot the system to activate the new kernel. You can also try to detect the
  980. Tap program by doing the following command:
  981.  
  982.      modstat
  983.  
  984. Modstat displays all loaded modules. An intruder could trojan modstat as well
  985. therefore you may want to verify the checksum of modstat.
  986.     ------------------------------------------------------------------------
  987.  
  988.  
  989. Part 4 - Unpatched Vulnerabilities
  990.  
  991. This is intended to let consumers know that these holes have already been fully
  992. disclosed and everyone already knows about it. These are the vulnerabilities
  993. that vendors are suppose to be releasing patches for ASAP. Hopefully this list
  994. will stay short and small.
  995.  
  996. Vendor          Bug                 Result
  997. Sun5.x          no promisc flags    Can not tell if machine is sniffing
  998.  
  999.     ------------------------------------------------------------------------
  1000.  
  1001.  
  1002. Acknowledgements
  1003.  
  1004. I would like to thank the following people for the contribution to this FAQ
  1005. that has helped to update and shape it:
  1006.  
  1007.      Jonathan Zanderson (jsz@ramon.bgu.ac.il)
  1008.      Rob Quinn <rjq@phys.ksu.edu>
  1009.      Dr.-Ing. Rudolf Theisen, <r.theisen@kfa-juelich.de>
  1010.      Gerald (Jerry) R. Leslie <jleslie@dmccorp.com>
  1011.      Walker Aumann (walkera@druggist.gg.caltech.edu)
  1012.      Chris Ellwood (cellwood@gauss.calpoly.edu)
  1013.  
  1014.     ------------------------------------------------------------------------
  1015.  
  1016.  
  1017. Copyright
  1018.  
  1019. This paper is Copyright (c) 1994, 1995
  1020.    by Christopher Klaus of Internet Security Systems, Inc.
  1021.  
  1022. Permission is hereby granted to give away free copies electronically. You may
  1023. distribute, transfer, or spread this paper electronically. You may not pretend
  1024. that you wrote it. This copyright notice must be maintained in any copy made.
  1025. If you wish to reprint the whole or any part of this paper in any other medium
  1026. excluding electronic medium, please ask the author for permission.
  1027.  
  1028. Disclaimer
  1029.  
  1030. The information within this paper may change without notice. Use of this
  1031. information constitutes acceptance for use in an AS IS condition. There are NO
  1032. warranties with regard to this information. In no event shall the author be
  1033. liable for any damages whatsoever arising out of or in connection with the use
  1034. or spread of this information. Any use of this information is at the user's own
  1035. risk.
  1036.  
  1037. Address of Author
  1038.  
  1039. Please send suggestions, updates, and comments to:
  1040. Christopher Klaus <cklaus@iss.net> of Internet Security Systems, Inc.
  1041. <iss@iss.net>
  1042.  
  1043.  
  1044. -- 
  1045. Christopher William Klaus       Voice: (404)441-2531. Fax: (404)441-2431
  1046. Internet Security Systems, Inc.         Computer Security Consulting
  1047. 2000 Miller Court West, Norcross, GA 30071
  1048.