home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0054.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.3 KB  |  158 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. CA-92:21                      CERT Advisory
  5.                             December 16, 1992
  6.                 ConvexOS and ConvexOS/Secure Vulnerabilities
  7.  
  8. - ---------------------------------------------------------------------------
  9.  
  10. The CERT Coordination Center has received information concerning
  11. several vulnerabilities in the following CONVEX Computer Corporation
  12. products: ConvexOS/Secure, CONVEX CXbatch, CONVEX Storage Manager
  13. (CSM), and ConvexOS EMACS.  These vulnerabilities can affect ConvexOS
  14. versions V6.2 - V10.2 and ConvexOS/Secure versions V9.5 and V10.0 on
  15. all supported architectures.
  16.  
  17. CONVEX is aware of the vulnerabilities, and fixes or workarounds are
  18. available.  Three of the fixes are implemented as full Engineering
  19. Change Notice (ECN) patches and, as such, will be shipped with all new
  20. systems as well as being released as upgrades for the products
  21. CXbatch, CSM and ConvexOS/Secure.  There is a workaround available for
  22. the ConvexOS EMACS vulnerability. CONVEX is currently incorporating
  23. the fixes to these vulnerabilities into future releases of each
  24. product.  Future shipments of these products should not be vulnerable
  25. to these problems.
  26.  
  27. If you have any questions about the affected products, please contact
  28. your CONVEX representative or the CONVEX Technical Assistance Center
  29. (TAC) at 1-800-952-0379.
  30.  
  31. - -----------------------------------------------------------------------------
  32.  
  33. ConvexOS/Secure: passwd patch
  34.  
  35. I.    Description
  36.  
  37.       The "passwd" command in ConvexOS/Secure contains a security
  38.       vulnerability in versions V9.5 and V10.0 of ConvexOS/Secure.
  39.       This vulnerability has been fixed in ConvexOS/Secure V10.1.
  40.  
  41. II.   Impact
  42.  
  43.       Local users can gain unauthorized root access.
  44.  
  45. III.  Solution
  46.  
  47.       Obtain and install ConvexOS/Secure V10.0.2 - Part No.
  48.       710-007815-008.
  49.  
  50.  
  51. - ------------------------------------------------------------------------------
  52.  
  53. Convex CXbatch: qmgr patch
  54.  
  55. I.    Description
  56.  
  57.       The "qmgr" command in CONVEX CXbatch versions V1.0 - V2.1.3
  58.       contains a security vulnerability.  This vulnerability is 
  59.       present in ConvexOS V6.2 - V10.2 on systems that have installed 
  60.       the optional CXbatch facility.
  61.  
  62. II.   Impact
  63.  
  64.       Local users can gain unauthorized root access.
  65.  
  66. III.  Solution
  67.  
  68.       A.  As root, rename the existing version of /usr/convex/qmgr and
  69.           modify the permission (from 6755 to 700) to prevent misuse.
  70.  
  71.           # /bin/mv /usr/convex/qmgr /usr/convex/qmgr.orig
  72.           # /bin/chmod 700 /usr/convex/qmgr.orig
  73.  
  74.       B.  Next, obtain and install CONVEX CXbatch V2.1.4 - Part No.
  75.           710-007830-011.
  76.  
  77. - ------------------------------------------------------------------------------
  78.  
  79. Convex CSM: migmgr patch
  80.  
  81. I.    Description
  82.  
  83.       The "migmgr" command in CONVEX CSM contains a security
  84.       vulnerability, in ConvexOS version V10.1 of systems that have
  85.       installed the CSM facility.  This vulnerability will be fixed
  86.       in the next CSM release.
  87.  
  88. II.   Impact
  89.  
  90.       Local users can gain unauthorized root access.
  91.  
  92. III.  Solution
  93.  
  94.       A.  As root, rename the existing version of /usr/csm/bin/migmgr and
  95.           modify the permission (from 4755 to 700) to prevent misuse.
  96.  
  97.           # /bin/mv /usr/csm/bin/migmgr /usr/csm/bin/migmgr.orig
  98.           # /bin/chmod 700 /usr/csm/bin/migmgr.orig
  99.  
  100.       B.  Next, obtain and install CONVEX CSM V1.0.1 - Part No.
  101.           710-011315-003
  102.  
  103. - ------------------------------------------------------------------------------
  104.  
  105. ConvexOS: EMACS editor workaround
  106.  
  107. I.    Description
  108.  
  109.       The EMACS Editor in ConvexOS contains a security vulnerability,
  110.       in ConvexOS versions V9.0 - V10.2.
  111.  
  112. II.   Impact
  113.  
  114.       Local users can gain unauthorized access to /dev/kmem.
  115.  
  116. III.  Solution
  117.  
  118.       As root, remove the setgid bit from /usr/convex/emacs.
  119.  
  120.           # /bin/chmod 755 /usr/convex/emacs
  121.  
  122. - ------------------------------------------------------------------------------ 
  123. The CERT Coordination Center wishes to thank the CONVEX Computer
  124. Corporation for their response to these problems.  We would also like
  125. to thank Bob Vickers from the University of London Computer Centre,
  126. London, England, for reporting the CXbatch problem to us.
  127. - ------------------------------------------------------------------------------ 
  128.  
  129. If you believe that your system has been compromised, contact the CERT
  130. Coordination Center or your representative in FIRST (Forum of Incident
  131. Response and Security Teams).
  132.  
  133. Internet E-mail: cert@cert.org
  134. Telephone: 412-268-7090 (24-hour hotline)
  135.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  136.            on call for emergencies during other hours.
  137.  
  138. CERT Coordination Center
  139. Software Engineering Institute
  140. Carnegie Mellon University
  141. Pittsburgh, PA 15213-3890
  142.  
  143. Past advisories, information about FIRST representatives, and other
  144. information related to computer security are available for anonymous FTP
  145. from cert.org (192.88.209.5).
  146.  
  147.  
  148. -----BEGIN PGP SIGNATURE-----
  149. Version: 2.6.2
  150.  
  151. iQCVAwUBMaMxGHVP+x0t4w7BAQEekAP/W2hxnOrDPBbUJKbgaOV2Ub+fvq+9DypV
  152. 6irBxo99sNeNUZkgHXdFSBdETiAh6IHmcfVDIWZ3HpOnURgO00SpohTFtRt1krHc
  153. tVlIzSGyX6KAaPfjmzWY3mdB7iNiA+cs8pcobQNE98x6zS3U0P2WPTMODfi4Wmqg
  154. IMjdsThlfWg=
  155. =UGBZ
  156. -----END PGP SIGNATURE-----
  157.  
  158.