home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0043.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.5 KB  |  96 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. ===========================================================================
  5. CA-92:07                        CERT Advisory
  6.                                March 31, 1992
  7.                         AIX /bin/passwd Vulnerability
  8.  
  9. - ---------------------------------------------------------------------------
  10.  
  11. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  12. received information concerning a vulnerability with the passwd command
  13. in AIX 3.2 and the 2007 update of AIX 3.1.
  14.  
  15. IBM is aware of this problem, and a fix is available as apar number
  16. "ix23505".  Patches are available for AIX 3.2 and the 2007 update of 
  17. AIX 3.1.
  18.  
  19. This fix may be ordered from Level 2 support or by anonymous ftp from 
  20. software.watson.ibm.com (129.34.139.5) on the Internet.
  21.  
  22.      1. To order from IBM call 1-800-237-5511 and ask 
  23.         that the fix be shipped.  Patches may be obtained
  24.         outside the U.S. by contacting your local IBM
  25.         representative.
  26.  
  27.      2. If you are on the Internet, use anonymous ftp to obtain 
  28.         the fix from software.watson.ibm.com.
  29.  
  30.         Patch           Filename                Checksum
  31.         AIX 3.2         pub/aix3/pas.32.tar.Z   54431  2262
  32.         AIX 3.1 2007    pub/aix3/pas.31.tar.Z   06703    99
  33.  
  34.         Patches should be retrieved using binary mode.
  35.  
  36.  
  37. IBM is currently incorporating the fix into the 3.2 version and 3.1
  38. updates of AIX.  Future shipments of these products should not be 
  39. vulnerable to this problem.  If you have any questions about products 
  40. you receive, please contact your IBM representative.
  41. - ---------------------------------------------------------------------------
  42.  
  43. I.   Description
  44.  
  45.      The passwd command contains a security vulnerability.
  46.  
  47. II.  Impact
  48.  
  49.      Local users can gain unauthorized root access.
  50.  
  51. III. Solution
  52.  
  53.      A.  As root, disable /bin/passwd until you obtain and install 
  54.          the patch.
  55.  
  56.                 # chmod 0500 /bin/passwd
  57.  
  58.      B.  Obtain the fix from IBM and install according to the
  59.          directions provided with the patch.
  60.  
  61. - ---------------------------------------------------------------------------
  62. The CERT/CC would like to thank Paul Selick of the University of Toronto
  63. for bringing this security vulnerability to our attention.  We would also 
  64. like to thank IBM for their quick response to this problem, and for making 
  65. the patches available via anonymous ftp.
  66. - ---------------------------------------------------------------------------
  67.  
  68. If you believe that your system has been compromised, contact CERT/CC or
  69. your representative in FIRST (Forum of Incident Response and Security Teams).
  70.  
  71. Internet E-mail: cert@cert.org
  72. Telephone: 412-268-7090 (24-hour hotline)
  73.            CERT/CC personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  74.            on call for emergencies during other hours.
  75.  
  76. Computer Emergency Response Team/Coordination Center (CERT/CC)
  77. Software Engineering Institute
  78. Carnegie Mellon University
  79. Pittsburgh, PA 15213-3890
  80.  
  81. Past advisories, information about FIRST representatives, and other
  82. information related to computer security are available for anonymous ftp
  83. from cert.org (192.88.209.5).
  84.  
  85.  
  86. -----BEGIN PGP SIGNATURE-----
  87. Version: 2.6.2
  88.  
  89. iQCVAwUBMaMw73VP+x0t4w7BAQFUdAP7BR5tDeOaYBC/YxUTCoKIkd/VTgfD/3KG
  90. Tx+9vGzBRF2hmvXfaRZNPU+hBy0ev6AjoHCEtvRyebmFe3JcAciRzttPMm0xvPxl
  91. RmNt47D/VFsQxq/9GZIGxuNDUzACJ+6vayhFOU7aAvwgyuJIt7lSa05La1fDHFpD
  92. lFP3g/nbrlA=
  93. =Rh+E
  94. -----END PGP SIGNATURE-----
  95.  
  96.