home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0131.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  16.9 KB  |  486 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.26
  6. Original issue date: December 18, 1996
  7. Last revised: January 20, 1997
  8.               Appendix A - added information from Data General Corporation.
  9.  
  10.               A complete revision history is at the end of this file.
  11.  
  12. Topic: Denial-of-Service Attack via ping
  13. - -----------------------------------------------------------------------------
  14.  
  15. The CERT Coordination Center has received reports of a denial-of-service
  16. attack using large ICMP datagrams. Exploitation details involving this
  17. vulnerability have been widely distributed.
  18.  
  19. The CERT/CC team recommends installing vendor patches as they become
  20. available.
  21.  
  22. We will update this advisory as we receive additional information. Please
  23. check advisory files regularly for updates that relate to your site.
  24.  
  25. - -----------------------------------------------------------------------------
  26. I.   Description
  27.  
  28.      The TCP/IP specification (the basis for many protocols used on the
  29.      Internet) allows for a maximum packet size of up to 65536 octets (1 octet
  30.      = 8 bits of data), containing a minimum of 20 octets of IP header
  31.      information and 0 or more octets of optional information, with the rest
  32.      of the packet being data. It is known that some systems will react in an
  33.      unpredictable fashion when receiving oversized IP packets. Reports
  34.      indicate a range of reactions including crashing, freezing, and
  35.      rebooting.
  36.  
  37.      In particular, the reports received by the CERT Coordination Center
  38.      indicate that Internet Control Message Protocol (ICMP) packets issued via
  39.      the "ping" command have been used to trigger this behavior. ICMP is a
  40.      subset of the TCP/IP suite of protocols that transmits error and control
  41.      messages between systems. Two specific instances of the ICMP are the ICMP
  42.      ECHO_REQUEST and ICMP ECHO_RESPONSE datagrams. These two instances can be
  43.      used by a local host to determine whether a remote system is reachable
  44.      via the network; this is commonly achieved using the "ping" command.
  45.  
  46.      Discussion in public forums has centered around the use of the "ping"
  47.      command to construct oversized ICMP datagrams (which are encapsulated
  48.      within an IP packet). Many ping implementations by default send ICMP
  49.      datagrams consisting only of the 8 octets of ICMP header information but
  50.      allow the user to specify a larger packet size if desired.
  51.  
  52.      You can read more information about this vulnerability on Mike
  53.      Bremford's Web page. (Note that this is not a CERT/CC maintained
  54.      page. We provide the URL here for your convenience.)
  55.  
  56.             http://www.sophist.demon.co.uk/ping/index.html
  57.  
  58. II.  Impact
  59.  
  60.      Systems receiving oversized ICMP datagrams may crash, freeze, or
  61.      reboot, resulting in denial of service.
  62.  
  63. III. Solution
  64.  
  65.      First, since crashing a router or firewall may be part of a larger,
  66.      multistage attack scenario, we encourage you to inspect the running
  67.      configuration of any such systems that have crashed to ensure that the
  68.      configuration information is what you expect it to be.
  69.  
  70.      Then install a patch from your vendor.
  71.  
  72.      Below is a list of vendors who have provided information about
  73.      patches for this problem. Details are in Appendix A of this
  74.      advisory; we will update the appendix as we receive more
  75.      information. If your vendor's name is not on this list, please
  76.      contact the vendor directly.
  77.  
  78.            Berkeley Software Design, Inc. (BSDI)
  79.            Computer Associates, Intl. (products for NCR)
  80.            Cray Research
  81.            Digital Equipment Corporation
  82.            Free BSD, Inc.
  83.            Hewlett-Packard Company
  84.            IBM Corporation
  85.            Linux Systems
  86.            NEC Corporation
  87.            Open Software Foundation (OSF)
  88.            The Santa Cruz Operation, Inc. (SCO)
  89.            Sun Microsystems, Inc.
  90.  
  91. ...........................................................................
  92.  
  93. Appendix A - Vendor Information
  94.  
  95. Below is a list of the vendors who have provided information for this
  96. advisory. We will update this appendix as we receive additional information.
  97. If you do not see your vendor's name, please contact the vendor directly.
  98.  
  99.  
  100. Berkeley Software Design, Inc. (BSDI)
  101. =====================================
  102.   BSD/OS 2.1 is not vulnerable to this problem.  It correctly handles
  103.   large packets without any problems.
  104.  
  105.  
  106. Computer Associates, Intl.
  107. ==========================
  108. (products for NCR)
  109.  
  110.    Not vulnerable.
  111.  
  112.  
  113. Cray Research
  114. =============
  115.   Attempts to send oversized ICMP datagrams are rejected with
  116.   appropriate error messages.  We believe that oversized ICMP datagrams
  117.   sent to Unicos systems will also be rejected without crashing.
  118.  
  119.  
  120. Data General Corporation
  121. ========================
  122.   Due to the way DG/UX processes tcp packets, DG/UX is not vulnerable to
  123.   this attack.
  124.  
  125.  
  126. Digital Equipment Corporation
  127. =============================
  128.   MSG ID: SSRT0429 From DSNlink/DIA Database
  129.  
  130.   The following is important information concerning a potential denial of
  131.   service issue which affects Digital UNIX Operating System, Digital UNIX
  132.   MLS+, Firewall implementations, and Digital TCP/IP Services for OpenVMS AXP &
  133.   VAX
  134.  
  135.   COMPONENT:  System Security / Potential Denial of Service
  136.  
  137.   DIGITAL UNIX     Version: 3.0, 3.0b, 3.2, 3.2c, 3.2de1, 3.2de2,
  138.                             3.2f, 3.2g, 4.0, 4.0a
  139.   DIGITAL UNIX MLS+ Version 3.1a
  140.   DIGITAL TCP/IP Services for OpenVMS AXP & VAX Versions - 4.0, 4.1
  141.   DIGITAL ULTRIX Versions 4.3, 4.3a, 4.4, 4.5
  142.   DIGITAL Firewall for UNIX
  143.   DIGITAL AltaVista Firewall for UNIX
  144.   DIGITAL VAX/ELN
  145.  
  146.   For more information check the DSNlink/DIA Articles (keyword PING), or the
  147.   URL http://www.service.digital.com/html/whats-new.html for the latest
  148.   information.
  149.  
  150.   ADVISORY INFORMATION:
  151.  
  152.      Digital recently discovered a potential denial of service issue that
  153.      may occur by remote systems exploiting a recently published problem while
  154.      executing the 'ping' command. Solutions and initial communications
  155.      began appearing in DSNlink/DIA FLASH/articles in late October, 1996.
  156.  
  157.   SEVERITY LEVEL:  High.
  158.  
  159.   SOLUTION:
  160.  
  161.      Digital has reacted promptly to this reported problem and a complete
  162.      set of patch kits are being prepared for all currently supported
  163.      platforms.
  164.  
  165.   The Digital patches may be obtained from your local Digital support
  166.   channel or from the URL listed above. Please refer to the applicable README
  167.   notes information prior to the installation of patch kits on your system.
  168.  
  169.   DIGITAL EQUIPMENT CORPORATION
  170.  
  171.   Copyright (c) Digital Equipment Corporation, 1996, All Rights Reserved.
  172.   Unpublished Rights Reserved Under The  Copyright Laws Of The United States.
  173.  
  174.  
  175. Free BSD, Inc.
  176. ==============
  177.   We have fixed the problem in 2.1.6 and -current.
  178.  
  179.  
  180. Hewlett-Packard Company
  181. =======================
  182.  
  183.   For HP9000 Series 700 and 800 systems, apply the appropriate patch.
  184.   See Hewlett-Packard Security Bulletin #000040 (HPSBUX9610-040) for further
  185.   details. The bulletin is available from the HP SupportLine and
  186.   ftp://info.cert.org/pub/vendors/hp/
  187.  
  188.  
  189.           Patch Name(Platform/OS)   | Notes
  190.           --------------------------+----------------------------------
  191.           PHNE_9027 (s700 9.01)     : PHNE_7704 must first be installed
  192.           PHNE_9028 (s700 9.03/5/7) : PHNE_7252 must first be installed
  193.           PHNE_9030 (s700 10.00)    :             No patch dependencies
  194.           PHNE_9032 (s700 10.01)    : PHNE_8168 must first be installed
  195.           PHNE_9034 (s700 10.10)    : PHNE_8063 must first be installed
  196.           PHNE_9036 (s700 10.20)    :             No patch dependencies
  197.           --------------------------+----------------------------------
  198.           PHNE_8672 (s800 9.00)     : PHNE_7197 must first be installed
  199.           PHNE_9029 (s800 9.04)     : PHNE_7317 must first be installed
  200.           PHNE_9031 (s800 10.00)    :             No patch dependencies
  201.           PHNE_9033 (s800 10.01)    : PHNE_8169 must first be installed
  202.           PHNE_9035 (s800 10.10)    : PHNE_8064 must first be installed
  203.           PHNE_9037 (s800 10.20)    :             No patch dependencies
  204.           --------------------------+----------------------------------
  205.  
  206.   For our MPE operating system, patches are in process. Watch for the issuance
  207.   of our MPE security bulletin.
  208.  
  209.  
  210. IBM Corporation
  211. ===============
  212.  
  213.   See the appropriate release below to determine your action.
  214.  
  215.  
  216.   AIX 3.2
  217.   -------
  218.     Apply the following fix to your system:
  219.  
  220.        APAR - IX59644 (PTF - U444227 U444232)
  221.  
  222.     To determine if you have this PTF on your system, run the following
  223.     command:
  224.  
  225.        lslpp -lB U444227 U444232
  226.  
  227.  
  228.   AIX 4.1
  229.   -------
  230.     Apply the following fix to your system:
  231.  
  232.         APAR - IX59453
  233.  
  234.     To determine if you have this APAR on your system, run the following
  235.     command:
  236.  
  237.        instfix -ik IX59453
  238.  
  239.     Or run the following command:
  240.  
  241.        lslpp -h bos.net.tcp.client
  242.  
  243.     Your version of bos.net.tcp.client should be 4.1.4.16 or later.
  244.  
  245.  
  246.   AIX 4.2
  247.   -------
  248.     Apply the following fix to your system:
  249.  
  250.         APAR - IX61858
  251.  
  252.     To determine if you have this APAR on your system, run the following
  253.     command:
  254.  
  255.        instfix -ik IX61858
  256.  
  257.     Or run the following command:
  258.  
  259.        lslpp -h bos.net.tcp.client
  260.  
  261.     Your version of bos.net.tcp.client should be 4.2.0.6 or later.
  262.  
  263.  
  264.   IBM SNG Firewall
  265.   ----------------
  266.  
  267.       NOTE: The fixes in this section should ONLY be applied to systems
  268.       running the IBM Internet Connection Secured Network Gateway (SNG)
  269.       firewall software.  They should be applied IN ADDITION TO the IBM
  270.       AIX fixes listed in the previous section.
  271.  
  272.      IBM SNG V2.1
  273.      ------------
  274.          APAR - IR33376 PTF UR46673
  275.  
  276.      IBM SNG V2.2
  277.      ------------
  278.          APAR - IR33484 PTF UR46641
  279.  
  280.  
  281.   To Order
  282.   --------
  283.     APARs may be ordered using Electronic Fix Distribution (via FixDist)
  284.     or from the IBM Support Center.  For more information on FixDist,
  285.     reference URL:
  286.  
  287.        http://service.software.ibm.com/aixsupport/
  288.  
  289.     or send e-mail to aixserv@austin.ibm.com with a subject of "FixDist".
  290.  
  291.  
  292.   IBM and AIX are registered trademarks of International Business Machines
  293.   Corporation.
  294.  
  295.  
  296. Linux Systems
  297. =============
  298.  
  299.   We recommend that you upgrade your Linux 1.3.x and 2.0.x kernels to Linux
  300.   2.0.27. This is available from all the main archive sites such as
  301.  
  302.         ftp://ftp.cs.helsinki.fi/pub/Software/Linux
  303.  
  304.   Users wishing to remain with an earlier kernel version may download a
  305.   patch from http://www.uk.linux.org/big-ping-patch. This patch will work with
  306.   2.0.x kernel revisions but is untested with 1.3.x kernel revisions.
  307.  
  308.   Red Hat Linux has chosen to issue a 2.0.18 based release with the fix. Red
  309.   Hat users should obtain this from
  310.  
  311. ftp://ftp.redhat.com/pub/redhat/redhat-4.0/updates/i386/kernel-2.0.18-6.i386.rpm
  312.  
  313.  
  314. NEC Corporation
  315. ===============
  316. - --------------------------------------------------------------------------
  317.        OS               Version        Status
  318. - ------------------   ------------   -------------------------------------
  319. EWS-UX/V(Rel4.0)     R1.x - R6.x    not vulnerable
  320. EWS-UX/V(Rel4.2)     R7.x - R10.x   not vulnerable
  321. EWS-UX/V(Rel4.2MP)   R10.x          not vulnerable
  322. UP-UX/V              R1.x - R4.x    not vulnerable
  323. UP-UX/V(Rel4.2MP)    R5.x - R7.x    not vulnerable
  324. UX/4800              R11.x          not vulnerable
  325. - --------------------------------------------------------------------------
  326.  
  327. NCR
  328. ====
  329. see Computer Associates, Intl.
  330.  
  331.  
  332. Open Software Foundation (OSF)
  333. ==============================
  334.   OSF's OSF/1 R1.3.3 maintenance release includes a solution for this
  335.   problem.
  336.  
  337.  
  338. The Santa Cruz Operation, Inc. (SCO)
  339. ===================================
  340.  The following SCO products are known to be vulnerable:
  341.  
  342.   SCO OpenServer 5.0.0, 5.0.2
  343.   SCO Internet FastStart 1.0.0, 1.1.0
  344.   SCO Open Desktop 3.0
  345.   SCO TCP/IP 1.2.1 on SCO Unix System V/386 Release 3.2 Version 4.2
  346.  
  347.   The symptoms encountered vary greatly and seem to be related to the type
  348.   of network interface device being used. Support Level Supplement (SLS)
  349.   OSS449 addresses this problem for the following releases:
  350.  
  351.   SCO OpenServer 5.0.0, 5.0.2
  352.   SCO Internet FastStart 1.0.0, 1.1.0.
  353.  
  354.   This Supplement is available at the following URLs:
  355.  
  356.   ftp://ftp.sco.COM/SLS/oss449a.ltr     (cover letter)
  357.   ftp://ftp.sco.COM/SLS/oss449a.Z       (image)
  358.  
  359.   The checksums are as follows:
  360.  
  361.   sum -r
  362.   ------
  363.         oss449a.ltr:    28877   42
  364.           oss449a.Z:    54558 1762
  365.  
  366.   MD5
  367.   ---
  368.         MD5 (oss449a.Z) = e8fc8a29dd59683ce5107f3b9b8d1169
  369.         MD5 (oss449a.ltr) = d51ee1caf33edb86f4dbeb1733c99d86
  370.  
  371.   If this SLS is ever updated, it will be noted at:
  372.  
  373.         ftp://ftp.sco.COM/SLS/README
  374.  
  375.   Should more information become available for either SCO's OpenServer or
  376.   UnixWare products, SCO will provide updated information for this advisory.
  377.  
  378.   If you need further assistance, SCO's Web page is at http://www.sco.COM.
  379.   Support requests from supported customers may be addressed to
  380.   support@sco.COM, or you may contact SCO as follows:
  381.  
  382.         USA/Canada: 6am-5pm Pacific Standard Time (PST)
  383.         -----------
  384.         1-408-425-4726  (voice)
  385.         1-408-427-5443  (fax)
  386.  
  387.         Pacific Rim, Asia, and Latin American customers: 6am-5pm Pacific
  388.         ------------------------------------------------ Standard Time
  389.                                                          (PST)
  390.         1-408-425-4726  (voice)
  391.         1-408-427-5443  (fax)
  392.  
  393.         Europe, Middle East, Africa: 9am-5:00pm Greenwich Mean Time (GMT)
  394.         ----------------------------
  395.         +44 1923 816344 (voice)
  396.         +44 1923 817781 (fax)
  397.  
  398.  
  399. Sun Microsystems, Inc.
  400. ======================
  401.   We are looking into this problem.
  402.  
  403. ...........................................................................
  404.  
  405. - -----------------------------------------------------------------------------
  406. The CERT Coordination Center staff thanks AUSCERT, the Australian Computer
  407. Emergency Response Team, and DFN-CERT, the German team, for their
  408. contributions to this advisory, and we thank Mike Bremford for permission to
  409. cite the information he has made available to the community.
  410. - -----------------------------------------------------------------------------
  411.  
  412. If you believe that your system has been compromised, contact the CERT
  413. Coordination Center or your representative in the Forum of Incident Response
  414. and Security Teams (see ftp://info.cert.org/pub/FIRST/first-contacts).
  415.  
  416.  
  417. CERT/CC Contact Information
  418. - ----------------------------
  419. Email    cert@cert.org
  420.  
  421. Phone    +1 412-268-7090 (24-hour hotline)
  422.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  423.                 and are on call for emergencies during other hours.
  424.  
  425. Fax      +1 412-268-6989
  426.  
  427. Postal address
  428.          CERT Coordination Center
  429.          Software Engineering Institute
  430.          Carnegie Mellon University
  431.          Pittsburgh PA 15213-3890
  432.          USA
  433.  
  434. Using encryption
  435.    We strongly urge you to encrypt sensitive information sent by email. We can
  436.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  437.    Location of CERT PGP key
  438.          ftp://info.cert.org/pub/CERT_PGP.key
  439.  
  440. Getting security information
  441.    CERT publications and other security information are available from
  442.         http://www.cert.org/
  443.         ftp://info.cert.org/pub/
  444.  
  445.    CERT advisories and bulletins are also posted on the USENET newsgroup
  446.         comp.security.announce
  447.  
  448.    To be added to our mailing list for advisories and bulletins, send your
  449.    email address to
  450.         cert-advisory-request@cert.org
  451.  
  452. - ---------------------------------------------------------------------------
  453. Copyright 1996 Carnegie Mellon University
  454. This material may be reproduced and distributed without permission provided
  455. it is used for noncommercial purposes and the copyright statement is
  456. included.
  457.  
  458. CERT is a service mark of Carnegie Mellon University.
  459. - ---------------------------------------------------------------------------
  460.  
  461. This file: ftp://info.cert.org/pub/cert_advisories/CA-96.26.ping
  462.            http://www.cert.org
  463.                click on "CERT Advisories"
  464.  
  465.  
  466. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  467. Revision history
  468.  
  469.   Jan. 20, 1997 Appendix A - added information from Data General Corporation.
  470.  
  471.   Jan. 14, 1997 Appendix A - modified SCO entry to include updated patch
  472.                 information.
  473.  
  474.  
  475.  
  476. -----BEGIN PGP SIGNATURE-----
  477. Version: 2.6.2
  478.  
  479. iQCVAwUBMuPjynVP+x0t4w7BAQF3egP/T4ldeps6OzpAgc2KPAFYHzqPKFkRLVLV
  480. hXtCZ4z1/eu60IZQfIyj8P5WCX/xnMtq1Db58onzzv5XlVbbg5prHhYcp6fbDFtu
  481. LN4oTQnRqhSxochAvrsNnj8ji0VQRwB/vK6NvdxGvaqMSb1RTnpv1aXGqiXyjzan
  482. qB2jmT3GEvM=
  483. =bA3R
  484. -----END PGP SIGNATURE-----
  485.  
  486.