home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0051.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  8.5 KB  |  182 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4.  
  5. CA-92:18             CERT Advisory
  6.                November 17, 1992
  7.             Revised VMS Monitor Vulnerability 
  8.  
  9. - ---------------------------------------------------------------------------
  10.                    
  11.            *** THIS IS A REVISED CERT ADVISORY ***
  12. *** IT CONTAINS NEW INFORMATION REGARDING AVAILABILITY OF IMAGE KITS ***
  13.           *** SUPERSEDES CERT ADVISORY CA-92:16 ***
  14.  
  15.  
  16. The CERT Coordination Center received information concerning a
  17. potential vulnerability with Digital Equipment Corporation's VMS
  18. Monitor. This vulnerability is present in V5.0 through V5.4-2 but has
  19. been corrected in V5.4-3 through V5.5-1.  The Software Security 
  20. Response Team at Digital has provided the following information
  21. concerning this vulnerability.
  22.  
  23. The remedial image kit was not available at the time CERT distributed
  24. the CA-92:16.VMS.monitor.vulnerability advisory (dated September 22,
  25. 1992).  At that time, Digital strongly suggested that customers either
  26. upgrade to VMS V5.4-3 (preferably to V5.5-1) or implement the provided
  27. workaround if unable to upgrade.
  28.  
  29. The following SSRT-200-1 addendum contains information about the
  30. availability of new images to address the possible vulnerability with
  31. VMS Monitor.
  32.  
  33. This last and final addendum includes new information about remedial
  34. images for VMS V5.0 through V5.4-2.
  35.  
  36. Digital strongly suggests that those customers who were unable to
  37. upgrade their systems (i.e., VMS V5.0 through V5.4-2) obtain and
  38. install the remedial image kit on their system(s).
  39.  
  40. For additional information, please contact your normal Digital 
  41. Services Support Organization.
  42.  
  43.  
  44.         The information separated by the hash (#) line is
  45.      excerpted from the previously published CERT Advisory
  46. ##############################################################################
  47.  
  48. SSRT-0200      PROBLEM: Potential Security Vulnerability Identified in Monitor
  49.                 SOURCE: Digital Equipment Corporation
  50.                 AUTHOR: Software Security Response Team - U.S.
  51.                         Colorado Springs USA
  52.  
  53.                PRODUCT:  VMS
  54. Symptoms Identified On:  VMS, Versions 5.0, 5.0-1, 5.0-2, 5.1, 5.1-B,
  55.                                        5.1-1, 5.1-2, 5.2, 5.2-1, 5.3,
  56.                                        5.3-1, 5.3-2, 5.4, 5.4-1, 5.4-2
  57.  
  58.             *******************************************************
  59.             SOLUTION: This problem is not present in VMS V5.4-3
  60.                       (released in October 1991) through V5.5-1
  61.                       (released in July, 1992.)
  62.             *******************************************************
  63. Copyright (c) Digital Equipment Corporation, 1992 All Rights Reserved.
  64. Published Rights Reserved Under The Copyright Laws Of The United States.
  65. - -------------------------------------------------------------------------------
  66. PROBLEM/IMPACT:
  67. - -------------------------------------------------------------------------------
  68.      Unauthorized privileges may be expanded to authorized users of a system
  69.      under certain conditions, via the Monitor utility.   Should a system be
  70.      compromised through unauthorized access, there is a risk of potential
  71.      damage to a system environment.  This problem will not permit unauthorized
  72.      access entry, as individuals attempting to gain unauthorized access will
  73.      continue to be denied through the standard VMS security mechanisms.
  74. - -------------------------------------------------------------------------------
  75. SOLUTION:
  76. - -------------------------------------------------------------------------------
  77.      This potential vulnerability does not exist in VMS V5.4-3
  78.      (released in October 1991) and later versions of VMS through V5.5-1.
  79.  
  80.      Digital strongly recommends that you upgrade to a minimum of VMS V5.4-3,
  81.      and further, to the latest release of VMS V5.5-1. (released in July, 1992)
  82.  
  83. ################################################################################
  84.     End of material excerpted from previously published CERT Advisory
  85.  
  86.  
  87.           Beginning of Text Provided by Digital Equipment Corporation
  88. ================================================================================
  89.      21-OCT-1992 SSRT-0200-1 (ADDENDUM)
  90.      21-AUG-1992 SSRT-0200
  91.     
  92.      SOURCE:         Digital Equipment Corporation
  93.      AUTHOR:         Software Security Response Team - U.S.
  94.                         Colorado Springs USA
  95.  
  96.          PRODUCT: VMS MONITOR V5.0 through V5.4-2 
  97.  
  98.              PROBLEM: Potential Security Vulnerability in VMS Monitor Utility
  99.             SOLUTION: A VMS V5.0 through V5.4-2 remedial kit is now available 
  100.                       by contacting your normal Digital Services Support 
  101.                       organization.     
  102.  
  103.             NOTE:     This problem has been corrected in VAX VMS V5.4-3
  104.                       (released in October 1991).  
  105.            __________________________________________________________________
  106.            The kit may be identified as MONTOR$S01_05* or CSCPAT_1047 
  107.            via DSIN , and DSNlink.
  108.        ------------------------------------------------------------------
  109.     
  110.      Copyright (c) Digital Equipment Corporation, 1992 All Rights Reserved.
  111.      Published Rights Reserved Under The Copyright Laws Of The United States.
  112.  
  113.      -------------------------------------------------------------------------    
  114.      ADVISORY ADDENDUM INFORMATION:
  115.      -------------------------------------------------------------------------    
  116.  
  117.      In August 1992, an advisory and article was distributed describing a 
  118.      potential security vulnerability discovered in the VMS Monitor utility and
  119.      provided suggested workarounds to remove the vulnerability. The advisory
  120.      was labeled SSRT-200 "Potential Security Vulnerability in VMS Monitor
  121.      Utility".
  122.  
  123.      This advisory follows that advisory with information of the
  124.      availability of a kit containing a new sys$share:spishr.exe for VMS
  125.      V5.0-* through VMS V5.4-2 and may be identified as MONTOR$S01_050
  126.      through MONTOR$S01_054 respectively from your Digital Services
  127.      organization.
  128.      In the U.S.the kit is also identified as CSCPAT_1047 via DSIN and DSNlink.
  129.  
  130. Note:This potential vulnerability does not exist in VMS V5.4-3 and later
  131.      versions of VMS.  Digital strongly recommends that you upgrade to a
  132.      minimum of VMS V5.4-3, and further, to the latest release of VMS V5.5-1.
  133.      (released in July, 1992)
  134.  
  135.      If you cannot upgrade to a minimum of VMS V5.4-3 at this time,
  136.      Digital strongly recommends that you install the available V5.0-* 
  137.      through V5.4-2 kit on your  system(s), available from your support 
  138.      organization, to avoid any potential vulnerability. 
  139.  
  140.      You may obtain a kit for VMS V5.0 through V5.4-2 by contacting your normal
  141.      Digital Services support organization. (Customer Support Center, using 
  142.      DSNlink or DSIN, or your local support office)   
  143.  
  144.      As always, Digital recommends that you periodically review your system
  145.      management and security procedures.  Digital will continue to review and
  146.      enhance the security features of its products and work with customers to
  147.      maintain and improve the security and integrity of their systems.
  148.  
  149. ===========================================================================
  150.         End of Text provided by Digital Equipment Corporation
  151.  
  152. - ---------------------------------------------------------------------------
  153. CERT wishes to thank Teun Nijssen of CERT-NL (the SURFnet CERT, in the
  154. Netherlands) for bringing this security vulnerability to our attention.
  155. We would also like to thank Digital Equipment Corporation's Software Security
  156. Response Team for providing information on this vulnerability.
  157. - ---------------------------------------------------------------------------
  158.  
  159. If you believe that your system has been compromised, contact CERT or
  160. your representative in FIRST (Forum of Incident Response and Security Teams).
  161.  
  162. Internet E-mail: cert@cert.org
  163. Telephone: 412-268-7090 (24-hour hotline)
  164.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  165.            on call for emergencies during other hours.
  166.  
  167. CERT Coordination Center
  168. Software Engineering Institute
  169. Carnegie Mellon University
  170. Pittsburgh, PA 15213-3890
  171.  
  172. -----BEGIN PGP SIGNATURE-----
  173. Version: 2.6.2
  174.  
  175. iQCVAwUBMaMxD3VP+x0t4w7BAQGysQQAxx91E94mclwZBUmyX5m+PDhhlTl5MKXd
  176. wWD2ct7nu0q9xNeftGH4yp1m7vvAALTO1Ajeqlh5BCPzoNVMu/d1wF6y8r72emNd
  177. 0OeN8yiwpKzyP/DE6RC7Tl9B2tw80+TgHhuw8gcP04I2B7mZFbubKb5+44NfgFBg
  178. cJTDiUqW8Aw=
  179. =Nn5Y
  180. -----END PGP SIGNATURE-----
  181.  
  182.