home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0086.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.4 KB  |  176 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-94:14                      
  6. Original issue date:  October 19, 1994
  7. Last revised: August 30, 1996
  8.               Information previously in the README was inserted
  9.               into the advisory.
  10.  
  11.               A complete revision history is at the end of this file.
  12.                     
  13. Topic: Trojan Horse in IRC Client for UNIX
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center has learned of a Trojan horse in some copies of
  17. ircII version 2.2.9, the source code for the Internet Relay Chat (IRC) client
  18. for UNIX systems. Reports we have received thus far indicate that the corrupt
  19. code was available as early as May 1994. The Trojan horse provides a back door
  20. through which intruders can gain unauthorized access to accounts of IRC users.
  21. Intruders are actively exploiting this back door.  If you obtained ircII 2.2.9
  22. from any site in May or later, you may be vulnerable.
  23.  
  24. Because it is unknown how far the corrupt version of the IRC client has
  25. propagated and because intruders may have corrupted other versions, the CERT
  26. staff recommends obtaining and installing ircII version 2.6. 
  27.  
  28. Because no special privileges are needed to install and run the IRC source
  29. code, any user on your system may have installed the corrupt code.  Thus, we
  30. also recommend that you inform your users of this potential problem and its
  31. solution.
  32.  
  33. We will update this advisory as we receive additional information.
  34. Please check advisory files regularly for updates that relate to your site.
  35.  
  36. - -----------------------------------------------------------------------------
  37.  
  38. I.   Description
  39.  
  40.      A Trojan horse was found in some copies of the source code for
  41.      the Internet Relay Chat client for UNIX systems, ircII version
  42.      2.2.9.  Intruders are actively exploiting this Trojan horse.
  43.  
  44.      The Trojan horse creates a back door and enables intruders to
  45.      gain unauthorized access to accounts of IRC users. If IRC is run
  46.      from a system account, such as root or bin, the Trojan horse
  47.      enables intruders to gain unauthorized access to the system
  48.      account.  In addition, because it is possible to compile,
  49.      install, and run IRC source code without special privileges, any
  50.      user on your system may have installed corrupt code.
  51.  
  52.      The source code containing the Trojan horse was available from
  53.      many FTP sites as early as May 1994 (at this time, we do not have
  54.      a specific date).
  55.  
  56. II.  Impact
  57.  
  58.      Remote users can gain unauthorized access to any account running
  59.      the IRC client, including a system account if it is running IRC.
  60.  
  61. III. Solution
  62.  
  63.      If you want to try to determine whether your copy of ircII contains the
  64.      Trojan horse, perform a search on the IRC client to find the strings JUPE
  65.      or GROK. For example, 
  66.  
  67.         % strings /usr/local/bin/irc | grep 'JUPE|GROK'
  68.  
  69.         % strings /usr/local/bin/irc | egrep 'JUPE|GROK'
  70.  
  71.      If the strings JUPE or GROK are present in the IRC client, your source
  72.      code may contain the Trojan horse. Keep in mind, however, that back doors
  73.      can easily be changed to respond to other words, so you may be vulnerable
  74.      even if you do not find JUPE or GROK.
  75.  
  76.      Thus, even if you believe that your IRC source code is clean, we urge you
  77.      to install ircII version 2.6, the most recent version of IRC. Also,
  78.      the maintainer of the code reports that version 2.6 contains many bug
  79.      fixes and extra portability. 
  80.  
  81.      IRC source code is available by anonymous FTP from many locations,
  82.      including the following:
  83.  
  84.         sungear.mame.mu.oz.au:/pub/irc
  85.         alpha.gnu.ai.mit.edu:/ircII
  86.         ftp.funet.fi:/pub/unix/irc/ircII
  87.         coombs.anu.edu.au:/pub/irc/ircii
  88.  
  89.         File                  Size     MD5 Checksum
  90.         --------              ------   -----------------------------
  91.         ircii-2.6.tar.gz      366361   3FC5FBD18CB3E6C071F51FD8C6C59017
  92.         ircii-2.6help.tar.gz  111733   D9D535B7A06BED2A2EA6676B20BDA481
  93.         ircii-2.5to2.6-diff   19644    0C05C96B10CB87186BD921536AE3FDF2
  94.  
  95.  
  96.       As of Feb. 2, 1995, an ircii2.6-sco-patch is available:
  97.  
  98.         File                  Size     MD5 Checksum
  99.         --------              ------   -----------------------------
  100.         ircii-2.6.tar.gz      366361   3FC5FBD18CB3E6C071F51FD8C6C59017
  101.         ircii-2.6help.tar.gz  111733   D9D535B7A06BED2A2EA6676B20BDA481
  102.         ircii-2.5to2.6-diff   19644    0C05C96B10CB87186BD921536AE3FDF2
  103.         ircii-2.6-sco-patch   65143    45161113B0E435FB993CE00436A819A1
  104.        
  105. IV.  Informing Users
  106.  
  107.      Because users may have installed IRC source code on their own, we
  108.      recommend informing all your users about the Trojan horse and the new
  109.      version of IRC.
  110.  
  111.      In addition, you may want to find any user-installed copies of IRC that
  112.      may be vulnerable. If so, you could use the find command to locate these
  113.      binaries. As an example, the following command will enable you to find
  114.      all files named "irc" in a subdirectory of /usr/users:
  115.       
  116.         % find /usr/users -name irc -type f -print
  117.  
  118. - ---------------------------------------------------------------------------
  119. The CERT Coordination Center wishes to thank Matthew Green for his 
  120. assistance with this advisory.
  121. - ---------------------------------------------------------------------------
  122.  
  123. If you believe that your system has been compromised, contact the CERT
  124. Coordination Center or your representative in Forum of Incident
  125. Response and Security Teams (FIRST).
  126.  
  127. If you wish to send sensitive incident or vulnerability information to
  128. CERT via electronic mail, CERT strongly advises that the e-mail be
  129. encrypted.  CERT can support a shared DES key, PGP (public key
  130. available via anonymous FTP on info.cert.org), or PEM (contact CERT
  131. for details).
  132.  
  133. Internet E-mail: cert@cert.org
  134. Telephone: 412-268-7090 (24-hour hotline)
  135.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  136.            and are on call for emergencies during other hours.
  137.  
  138. CERT Coordination Center
  139. Software Engineering Institute
  140. Carnegie Mellon University
  141. Pittsburgh, PA 15213-3890
  142. USA
  143.  
  144. Past advisories, information about FIRST representatives, and other
  145. information related to computer security are available for anonymous
  146. FTP from info.cert.org.
  147.  
  148. Copyright 1994, 1995, 1996 Carnegie Mellon University
  149. This material may be reproduced and distributed without permission provided
  150. it is used for noncommercial purposes and the copyright statement is
  151. included.
  152.  
  153. CERT is a service mark of Carnegie Mellon University.
  154.  
  155. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  156. Revision history
  157.  
  158. Aug. 30, 1996  Information previously in the README was inserted
  159.                into the advisory.
  160. Feb. 02, 1995  Sec. III - Added filenames and checksums for ircii2.6-sco-patch.
  161. Oct. 20, 1994  Sec. III - Added example command using egrep.
  162.                           Included alhpa.gnu.ai.mit.edu as a source of ircII.
  163.  
  164.  
  165.  
  166. -----BEGIN PGP SIGNATURE-----
  167. Version: 2.6.2
  168.  
  169. iQCVAwUBMiSqJnVP+x0t4w7BAQE5nwQA0bWc2T9Lqopgc9UCKpuClcVGvFONc7F5
  170. b/ptaHGcW+yobmpXZCWPR8nBN4+KVCiP4fSH8XaI8yMO0aDHdhtg3sFA/yfNoSCu
  171. +6IMCY2UcSXQkiiyHT165MOr+IqsRh0HOuaJm3Cvbjkyvjb0cG5R30Rczoo6GULa
  172. T1amleszZ44=
  173. =T+8z
  174. -----END PGP SIGNATURE-----
  175.  
  176.