home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0122.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  8.3 KB  |  215 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.17
  6. Original issue date: August 6, 1996
  7. Last revised: August 30, 1996
  8.               Removed references to the advisory README file.
  9.  
  10.               A complete revision history is at the end of this file.
  11.  
  12. Topic: Vulnerability in Solaris vold
  13. - -----------------------------------------------------------------------------
  14.  
  15.    The text of this advisory was originally released on August 2, 1996, as
  16.    AUSCERT Advisory AL-96.04, developed by the Australian Computer Emergency
  17.    Response Team. We are reprinting the AUSCERT advisory here with their
  18.    permission. Only the contact information at the end has changed: AUSCERT
  19.    contact information has been replaced with CERT/CC contact information.
  20.  
  21.    We will update this advisory as we receive additional information.
  22.    Please check advisory files regularly for updates that relate to your site.
  23.  
  24. =============================================================================
  25.  
  26. AUSCERT has received a report of a vulnerability in the Sun Microsystems
  27. Solaris 2.x distribution involving the Volume Management daemon, vold(1M).
  28. This program is used to help manage CDROM and floppy devices.
  29.  
  30. This vulnerability may allow a local user to gain root privileges.
  31.  
  32. Exploit details involving this vulnerability have been made publicly
  33. available.
  34.  
  35. At this stage, AUSCERT is not aware of any official patches.  AUSCERT
  36. recommends that sites take the actions suggested in Section 3 until official
  37. patches are available.
  38.  
  39. - -----------------------------------------------------------------------------
  40.  
  41. 1.  Description
  42.  
  43.     The Volume Management daemon, vold(1M), manages the CDROM and floppy
  44.     devices.  For example, it provides the ability to automatically detect,
  45.     and then mount, removable media such as CDROMs and floppy devices.
  46.  
  47.     vold is part of the Solaris 2.x Volume Management package (SUNWvolu).
  48.     It is executed as a background daemon on system startup and runs as root.
  49.  
  50.     When vold detects that a CDROM or floppy has been inserted into a drive,
  51.     it is configured to automatically mount the media, making it available
  52.     to users.  Part of this process includes the creation of temporary files,
  53.     which are used to allow the Openwindows File Manager, filemgr(1), to
  54.     determine that new media has been mounted.  These files are created by
  55.     the action_filemgr.so shared object which is called indirectly by vold
  56.     through rmmount(1M).  The handling of these files is not performed in a
  57.     secure manner.  As vold is configured to access these temporary files
  58.     with root privileges, it may be possible to manipulate vold into creating
  59.     or over-writing arbitrary files on the system.
  60.  
  61.     This vulnerability requires that vold be running and media managed by
  62.     vold, such as a CDROM or floppy, be physically loaded into a drive.  Note
  63.     that a local user need not have physical access to the media drive to
  64.     exploit this vulnerability.  It is enough to wait until somebody else
  65.     loads the drive, exploiting the vulnerability at that time.
  66.  
  67.     This vulnerability is known to be present in Solaris 2.4 and Solaris 2.5.
  68.     Solaris distributions prior to Solaris 2.4 are also expected to be
  69.     vulnerable.
  70.  
  71. 2.  Impact
  72.  
  73.     Local users may be able to create or over-write arbitrary files on the
  74.     system.  This can be leveraged to gain root privileges.
  75.  
  76. 3.  Workaround
  77.  
  78.     AUSCERT believes the workarounds given in Sections 3.1 or 3.2 will address
  79.     this vulnerability.  Vendor patches may also address this vulnerability
  80.     in the future (Section 3.3).
  81.  
  82. 3.1 Edit /etc/rmmount.conf
  83.  
  84.     The temporary files which are susceptible to attack are created by the
  85.     /usr/lib/rmmount/action_filemgr.so.1 shared object which is called
  86.     indirectly by vold through rmmount(1M).  rmmount(1M) can be
  87.     configured so that it does not create the temporary files, thereby
  88.     removing this vulnerability.
  89.  
  90.     To our knowledge, configuring rmmount(1M) in this fashion will not
  91.     affect the functionality of vold.  It will, however, remove the
  92.     ability of the Openwindows File Manager, filemgr(1), to automatically
  93.     detect newly mounted media.
  94.  
  95.     To prevent rmmount(1M) creating temporary files, sites must edit the
  96.     /etc/rmmount.conf file and comment out (or remove) any entry which
  97.     references action_filemgr.so.
  98.  
  99.     The standard /etc/rmmount.conf contains the following entries which
  100.     must be commented out (or deleted) to remove this vulnerability:
  101.  
  102.         action cdrom action_filemgr.so
  103.         action floppy action_filemgr.so
  104.  
  105.     After applying this workaround, an example of /etc/rmmount.conf may look
  106.     like:
  107.  
  108.         # @(#)rmmount.conf 1.2     92/09/23 SMI
  109.         #
  110.         # Removable Media Mounter configuration file.
  111.         #
  112.  
  113.         # File system identification
  114.         ident hsfs ident_hsfs.so cdrom
  115.         ident ufs ident_ufs.so cdrom floppy pcmem
  116.         ident pcfs ident_pcfs.so floppy pcmem
  117.  
  118.         # Actions
  119.         #
  120.         # Following two lines commented out to remove vold vulnerability
  121.         #
  122.         # action cdrom action_filemgr.so
  123.         # action floppy action_filemgr.so
  124.  
  125.     Note that vold does not have to be restarted for these changes to
  126.     take effect.
  127.  
  128. 3.2 Remove the Volume Management system
  129.  
  130.     Sites who do not require the vold functionality should remove the complete
  131.     set of Volume Management packages.  These are SUNWvolg, SUNWvolu and
  132.     SUNWvolr.  These packages can be removed using pkgrm(1M).
  133.  
  134. 3.3 Install vendor patches
  135.  
  136.     Currently, AUSCERT is not aware of any official patches which address
  137.     this vulnerability.  When official patches are made available, AUSCERT
  138.     suggests that they be installed.
  139.  
  140. - -----------------------------------------------------------------------------
  141. AUSCERT wishes to thanks to Leif Hedstrom, Mark McPherson(QTAC),
  142. Marek Krawus(UQ), DFN-CERT and CERT/CC for their assistance in this matter.
  143. - -----------------------------------------------------------------------------
  144.  
  145. If you believe that your system has been compromised, contact the CERT
  146. Coordination Center or your representative in the Forum of Incident
  147. Response and Security Teams (FIRST).
  148.  
  149. We strongly urge you to encrypt any sensitive information you send by email.
  150. The CERT Coordination Center can support a shared DES key and PGP. Contact
  151. the CERT staff for more information.
  152.  
  153. Location of CERT PGP key
  154.          ftp://info.cert.org/pub/CERT_PGP.key
  155.  
  156. CERT Contact Information
  157. - ------------------------
  158. Email    cert@cert.org
  159.  
  160. Phone    +1 412-268-7090 (24-hour hotline)
  161.                 CERT personnel answer 8:30-5:00 p.m. EST
  162.                 (GMT-5)/EDT(GMT-4), and are on call for
  163.                 emergencies during other hours.
  164.  
  165. Fax      +1 412-268-6989
  166.  
  167. Postal address
  168.         CERT Coordination Center
  169.         Software Engineering Institute
  170.         Carnegie Mellon University
  171.         Pittsburgh PA 15213-3890
  172.         USA
  173.  
  174. CERT publications, information about FIRST representatives, and other
  175. security-related information are available for anonymous FTP from
  176.         http://www.cert.org/
  177.         ftp://info.cert.org/pub/
  178.  
  179. CERT advisories and bulletins are also posted on the USENET newsgroup
  180.         comp.security.announce
  181.  
  182. To be added to our mailing list for CERT advisories and bulletins, send your
  183. email address to
  184.         cert-advisory-request@cert.org
  185.  
  186.  
  187.  
  188. CERT is a service mark of Carnegie Mellon University.
  189.  
  190. This file:
  191.         ftp://info.cert.org/pub/cert_advisories/CA-96.17.Solaris_vold_vul
  192.         http://www.cert.org
  193.                click on "CERT Advisories"
  194.  
  195.  
  196. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  197. Revision history
  198.  
  199. Aug. 30, 1996  Removed references to CA-96.17.README.
  200.                Beginning of the advisory - removed AUSCERT advisory header
  201.                  to avoid confusion.
  202.  
  203.  
  204.  
  205. -----BEGIN PGP SIGNATURE-----
  206. Version: 2.6.2
  207.  
  208. iQCVAwUBMiTFq3VP+x0t4w7BAQG5VwP/fwY/1z1OKfXRAhNynR6fLuqR4KYqBIKe
  209. 2OhwlHxfdNhCVb7gYqWW0Dq1KMgMx8uBAqMqQtQ9BmZ9jjExk7x/hAOQKjVIPcKE
  210. dbgNhPtSZHN5mZMTP/HPj07jYkd5oI92yvJD8ci9Tjh2s3OHdGxRe+L1T7u1MF2q
  211. Cql9+g5MsC4=
  212. =O/qX
  213. -----END PGP SIGNATURE-----
  214.  
  215.