home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0121.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.9 KB  |  174 lines

  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.16
  6. Original issue date: August 5, 1996
  7. Last revised: August 30, 1996
  8.               Removed references to the advisory README file.
  9.  
  10.               A complete revision history is at the end of this file.
  11.  
  12. Topic: Vulnerability in Solaris admintool
  13. - -----------------------------------------------------------------------------
  14.  
  15.    The text of this advisory was originally released on July 30, 1996, as
  16.    AUSCERT Advisory AL-96.03, developed by the Australian Computer Emergency
  17.    Response Team. Because of the seriousness of the problem, we are reprinting
  18.    the AUSCERT advisory here with their permission. Only the contact
  19.    information at the end has changed: AUSCERT contact information has been
  20.    replaced with CERT/CC contact information.
  21.  
  22.    We will update this advisory as we receive additional information.
  23.    Please check advisory files regularly for updates that relate to your site.
  24.  
  25. =============================================================================
  26.  
  27. AUSCERT has received a report of a vulnerability in the Sun Microsystems
  28. Solaris 2.x distribution involving the program admintool.  This program is
  29. used to provide a graphical user interface to numerous system administration
  30. tasks.
  31.  
  32. This vulnerability may allow a local user to gain root privileges.
  33.  
  34. Exploit details involving this vulnerability have been made publicly
  35. available.
  36.  
  37. At this stage, AUSCERT is not aware of any official patches.  AUSCERT
  38. recommends that sites take the actions suggested in Section 3 until official
  39. patches are available.
  40.  
  41. - -----------------------------------------------------------------------------
  42.  
  43. 1.  Description
  44.  
  45.     admintool is a graphical user interface that enables an administrator to
  46.     perform several system administration tasks on a system.  These tasks
  47.     include the ability to manage users, groups, hosts and other services.
  48.  
  49.     To help prevent different users updating system files simultaneously,
  50.     admintool uses temporary files as a locking mechanism.  The handling of
  51.     these temporary files is not performed in a secure manner, and hence it
  52.     may be possible to manipulate admintool into creating or writing to
  53.     arbitrary files on the system.  These files are accessed with the
  54.     effective uid of the process executing admintool.
  55.  
  56.     In Solaris 2.5, admintool is set-user-id root by default.  That is, all
  57.     file accesses are performed with the effective uid of root.  An effect
  58.     of this is that the vulnerability will allow access to any file on the
  59.     system.  If the vulnerability is exploited to try and create a file that
  60.     already exists, the contents of that file will be deleted.  If the file
  61.     does not exist, it will be created with root ownership and be world
  62.     writable.
  63.  
  64.     In earlier versions of Solaris 2.x, admintool is not set-user-id root
  65.     by default.  In this case, admintool runs only with the privileges of
  66.     the user executing it.  However, local users may wait for a specific user
  67.     to execute admintool, exploiting the vulnerability to create or write
  68.     files with that specific users' privileges.  Again, files created in this
  69.     manner will be world writable.
  70.  
  71. 2.  Impact
  72.  
  73.     A local user may be able to create or write to arbitrary files on the
  74.     system.  This can be leveraged to gain root privileges.
  75.  
  76. 3.  Workarounds/Solution
  77.  
  78.     Currently, AUSCERT is not aware of any official patches which address
  79.     this vulnerability.  When official patches are made available, AUSCERT
  80.     suggests that they be installed.
  81.  
  82.     Until official patches are available sites are encouraged to
  83.     completely prevent execution of admintool by any user (including root).
  84.  
  85.         # chmod 400 /usr/bin/admintool
  86.         # ls -l /usr/bin/admintool
  87.         -r--------   1 root  sys  303516 Oct 27  1995 /usr/bin/admintool
  88.  
  89.     Note that if only the setuid permissions are removed, it is still possible
  90.     for users to gain privileges when admintool is executed as root.
  91.  
  92.     AUSCERT recommends that, where possible, admintool should not be used at
  93.     all until official patches are available.  In the interim, system
  94.     administrators should perform administration tasks by using the command
  95.     line equivalents.  More details on performing these tasks may be found
  96.     in the Sun documentation set.
  97.  
  98. - -----------------------------------------------------------------------------
  99. AUSCERT wishes to thank Brian Meilak (QUT), Marek Krawus (UQ), Leif
  100. Hedstrom, Kim Holburn and Michael James for their assistance in this matter.
  101. - -----------------------------------------------------------------------------
  102.  
  103. If you believe that your system has been compromised, contact the CERT
  104. Coordination Center or your representative in the Forum of Incident
  105. Response and Security Teams (FIRST).
  106.  
  107. We strongly urge you to encrypt any sensitive information you send by email.
  108. The CERT Coordination Center can support a shared DES key and PGP. Contact
  109. the CERT staff for more information.
  110.  
  111. Location of CERT PGP key
  112.          ftp://info.cert.org/pub/CERT_PGP.key
  113.  
  114. CERT Contact Information
  115. - ------------------------
  116. Email    cert@cert.org
  117.  
  118. Phone    +1 412-268-7090 (24-hour hotline)
  119.                 CERT personnel answer 8:30-5:00 p.m. EST
  120.                 (GMT-5)/EDT(GMT-4), and are on call for
  121.                 emergencies during other hours.
  122.  
  123. Fax      +1 412-268-6989
  124.  
  125. Postal address
  126.         CERT Coordination Center
  127.         Software Engineering Institute
  128.         Carnegie Mellon University
  129.         Pittsburgh PA 15213-3890
  130.         USA
  131.  
  132. CERT publications, information about FIRST representatives, and other
  133. security-related information are available for anonymous FTP from
  134.         http://www.cert.org/
  135.         ftp://info.cert.org/pub/
  136.  
  137. CERT advisories and bulletins are also posted on the USENET newsgroup
  138.         comp.security.announce
  139.  
  140. To be added to our mailing list for CERT advisories and bulletins, send your
  141. email address to
  142.         cert-advisory-request@cert.org
  143.  
  144.  
  145.  
  146. CERT is a service mark of Carnegie Mellon University.
  147.  
  148. This file:
  149.         ftp://info.cert.org/pub/cert_advisories/CA-96.16.Solaris_admintool_vul
  150.         http://www.cert.org
  151.                click on "CERT Advisories"
  152.  
  153.  
  154. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  155. Revision history
  156.  
  157. Aug. 30, 1996  Removed references to CA-96.16.README.
  158.                Beginning of the advisory - removed AUSCERT advisory header
  159.                  to avoid confusion.
  160.  
  161.  
  162.  
  163.  
  164. -----BEGIN PGP SIGNATURE-----
  165. Version: 2.6.2
  166.  
  167. iQCVAwUBMiTD0nVP+x0t4w7BAQGY4wQA2imvW2Q4ZY/eG9bbxLPXCv1gZTvgxb9G
  168. s1Ib/wPzc0+OmJPi1OHPmwVKkW20soAKaTZ1UKv3SJmlXoQ6aYg2FZFLOXNli8Hc
  169. N3ylOInJ+oF4pYkME3AxUq03kXt/iwY+7Q7yPB/lYUTmx9Hm8+WygmXuDgwV8vuT
  170. kt0PMOE1/Fs=
  171. =Tgmc
  172. -----END PGP SIGNATURE-----
  173.  
  174.