home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0128.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  8.0 KB  |  203 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.23
  6. Original issue date: October 28, 1996
  7. Last revised: --
  8.               
  9. Topic: Vulnerability in WorkMan
  10. - -----------------------------------------------------------------------------
  11.  
  12.                 The original technical content for this advisory
  13.                 was published by the IBM-ERS response team and
  14.                 is used here with their permission.
  15.  
  16. There is a vulnerability in the WorkMan compact disc-playing program that
  17. affects UNIX System V Release 4.0 and derivatives and Linux systems.
  18. When the program is installed set-user-id root, it can be used to make any
  19. file on the system world-writable.
  20.  
  21. To address this problem, you should remove the set-user-id bit from the
  22. program.
  23.  
  24. We will update this advisory as we receive additional information.
  25. Please check advisory files regularly for updates that relate to your site.
  26.  
  27. - -----------------------------------------------------------------------------
  28.  
  29. I.   Description
  30.  
  31. WorkMan is a popular program used for playing audio compact disks on local
  32. workstation CD-ROM drives that is widely available from many sites around the
  33. Internet. Versions of WorkMan are also included with some operating system
  34. distributions, such as Linux.
  35.  
  36. On systems where WorkMan was built and installed using the procedures that
  37. are given in "Makefile.linux" or "Makefile.svr4" (in general, this means on
  38. Linux systems and UNIX System V Release 4.0 systems), the WorkMan program
  39. is installed set-user-id root. This means that when the program is run,
  40. it will execute with super-user permissions.
  41.  
  42. In order to allow signals to be sent to it, WorkMan writes its process-id
  43. to a file called /tmp/.wm_pid. The "-p" option to the program allows the
  44. user to specify a different file name in which to record this information.
  45. When a file is specified with "-p", WorkMan simply attempts to create and/or
  46. truncate the file, and if this succeeds, WorkMan changes the permissions on
  47. the file so that it is world-readable and world-writable.
  48.  
  49. In the general case, when WorkMan is installed without the set-user-id bit
  50. set, the normal file access permissions provided by the operating system will
  51. prevent users from creating or truncating files they are not authorized to
  52. create or truncate.  However, when WorkMan is installed set-user-id root,
  53. this process breaks down (because "root" is allowed to create/truncate any
  54. file).
  55.  
  56. WorkMan does not require the set-user-id bit to work; it is installed this
  57. way only on systems that do not make the CD-ROM device file world-readable
  58. by default.
  59.  
  60. Note: The vulnerability described by "r00t" on several mailing lists is not
  61.       the same one that we describe in this advisory.
  62.  
  63. II.  Impact
  64.  
  65. A user with access to an account on the system can use the "-p" option to
  66. create a file anywhere in the file system or to truncate any file in the file
  67. system. The file specified with "-p" will be world-readable and world-writable
  68. when WorkMan is finished.  This can enable the user to create accounts,
  69. destroy log files, and perform other unauthorized actions.
  70.  
  71. III. Solution
  72.  
  73. 1. Remove the set-user-id bit from the WorkMan program using a command
  74.    such as
  75.  
  76.         chmod u-s /usr/local/bin/workman
  77.  
  78. 2. Make the CD-ROM device world-readable using a command such as
  79.  
  80.         chmod +r /dev/cdrom
  81.  
  82.    On multi-user systems, Step 2 will allow any user to access the contents
  83.    of the disc installed in the CD-ROM; this may not be desirable in all
  84.    environments.
  85.  
  86. The vulnerability described in this advisory is related to the WorkMan
  87. program, not to the products of particular vendors. However, if a vendor sends
  88. us advice for their users, we will put it in Appendix A. 
  89.  
  90. ...........................................................................
  91.  
  92. Appendix A - Vendor Information
  93.  
  94. This appendix contains advice vendors wish to offer their users. Note that the
  95. vulnerability described in this advisory is related to the WorkMan program,
  96. not particular vendors' products.
  97.  
  98. Sun Microsystems, Inc.
  99. ======================
  100.  
  101.         Sun does not recommend that workman and other utility programs
  102.         be installed setuid root (or anything else) unless that step is
  103.         absolutely necessary. Programs which were not designed with
  104.         security in mind (and most non-setuid programs are not) are
  105.         unlikely to have built-in allowances for abuse. The proper way to
  106.         allow such programs to work is to install them as unprivileged,
  107.         ordinary software, then modify device permissions as necessary
  108.         to allow them to function.
  109.  
  110.         When an unprivileged users executes a recent version of the workman
  111.         program on a properly configured Solaris 2.x system, a message
  112.         similar to the following appears. (Ellipses added to save space.)
  113.  
  114.                 As root, please run
  115.  
  116.                         chmod 666 /devices/iommu@0,...sd@6,0:c,raw
  117.  
  118.                 to give yourself permission to access the CD-ROM device.
  119.  
  120.  
  121.         That's pretty good advice. Of course, if you don't want to give
  122.         every user access to the contents of a CD (which will sometimes
  123.         be data or software, and sometimes music) such permissions are
  124.         not appropriate.
  125.  
  126. - -----------------------------------------------------------------------------
  127. The CERT Coordination Center thanks IBM-ERS for permission to reproduce the
  128. technical content in their IBM Emergency Response Service Security
  129. Vulnerability Alert ERS-SVA-E01-1996:005.1. These alerts are copyrighted 1996
  130. International Business Machines Corporation.
  131. - -----------------------------------------------------------------------------
  132.  
  133. If you believe that your system has been compromised, contact the CERT
  134. Coordination Center or your representative in the Forum of Incident Response 
  135. and Security Teams (see ftp://info.cert.org/pub/FIRST/first-contacts). 
  136.  
  137.  
  138. CERT/CC Contact Information 
  139. - ---------------------------- 
  140. Email    cert@cert.org
  141.  
  142. Phone    +1 412-268-7090 (24-hour hotline)
  143.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  144.                 and are on call for emergencies during other hours.
  145.  
  146. Fax      +1 412-268-6989
  147.  
  148. Postal address
  149.          CERT Coordination Center
  150.          Software Engineering Institute
  151.          Carnegie Mellon University
  152.          Pittsburgh PA 15213-3890
  153.          USA
  154.  
  155. Using encryption
  156.    We strongly urge you to encrypt sensitive information sent by email. We can
  157.    support a shared DES key or PGP. Contact the CERT/CC for more information. 
  158.    Location of CERT PGP key
  159.          ftp://info.cert.org/pub/CERT_PGP.key
  160.  
  161. Getting security information
  162.    CERT publications and other security information are available from
  163.         http://www.cert.org/
  164.         ftp://info.cert.org/pub/
  165.  
  166.    CERT advisories and bulletins are also posted on the USENET newsgroup
  167.         comp.security.announce 
  168.  
  169.    To be added to our mailing list for advisories and bulletins, send your
  170.    email address to 
  171.         cert-advisory-request@cert.org 
  172.  
  173. - ---------------------------------------------------------------------------
  174. Copyright 1996 Carnegie Mellon University
  175. This material may be reproduced and distributed without permission provided
  176. it is used for noncommercial purposes and the copyright statement is
  177. included.
  178.  
  179. CERT is a service mark of Carnegie Mellon University.
  180. - ---------------------------------------------------------------------------
  181.  
  182. This file: ftp://info.cert.org/pub/cert_advisories/CA-96.23.workman_vul
  183.            http://www.cert.org
  184.                click on "CERT Advisories"
  185.  
  186.  
  187. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  188. Revision history 
  189.  
  190.  
  191.  
  192.  
  193. -----BEGIN PGP SIGNATURE-----
  194. Version: 2.6.2
  195.  
  196. iQCVAwUBMnTdVXVP+x0t4w7BAQEvaQQA3BgO7mS8X7G/qaAQxDx9b7HsIb9JVUGg
  197. H9Zxe7jaG1q3+MISCFdxPtqopdBHbLhNZ8vIN2ZChxsRG52Oj11mvafZK2wqg0ub
  198. 3YRZ16QzNaezC+kyyqHn8vIw0+3aSgj2DnxgYSdeVBzF41jcgeEBK5Kra7Qf0ME9
  199. E+CwivneAvU=
  200. =J4RP
  201. -----END PGP SIGNATURE-----
  202.  
  203.