home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0140.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.4 KB  |  458 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.08
  6. Original issue date: February 20, 1997
  7. Last revised: April 4, 1997
  8.                 Appendix A - added information from Netscape about Topic 2.
  9.                 Solution sections III.A and B - replaced pointer to patch 04
  10.                    with patch 05 and noted that you must use patch 05.
  11.                 Contact information - corrected the URL for FIRST
  12.  
  13.               A complete revision history is at the end of this file.
  14.  
  15. Topic 2: Second vulnerability related to INN - ucbmail
  16. Topic 1: Vulnerability in innd
  17. - -----------------------------------------------------------------------------
  18.  
  19. A second vulnerability was found in INN (InterNetNews server) after the
  20. initial publication of this advisory. We are including it in this advisory as
  21. "Topic 2" so that all INN information is in one advisory. Versions 1.5.1 and
  22. earlier are vulnerable to this second problem.
  23.  
  24. Information about the first vulnerability has been widely distributed, and we
  25. have received numerous reports of exploitation. INN 1.5 and earlier are
  26. vulnerable to this problem.
  27.  
  28. Both vulnerabilities allow unauthorized users to execute arbitrary commands on
  29. the machine running INN by sending a maliciously formed news control message.
  30. Because the problem is with the content of news control messages, attacks can
  31. be launched remotely and may reach news servers located behind Internet
  32. firewalls.
  33.  
  34. The CERT/CC staff recommends that sites upgrade to INN 1.5.1 and add the patch
  35. described in Section III.A. Until you can upgrade, you should apply two
  36. patches, as described in Section III.B. You may also want to check with your
  37. vendor. Vendors who have provided input for this advisory are listed in
  38. Sec. III.C and Appendix A.
  39.  
  40. We will update this advisory as we receive additional information.
  41. Please check advisory files regularly for updates that relate to your site.
  42.  
  43. - -----------------------------------------------------------------------------
  44.  
  45. I.  Description
  46.  
  47.     Topic 2 - ucbmail
  48.     -----------------
  49.  
  50.      A second vulnerability involving INN has been found. It is similar to
  51.      *but not the same as* the one described in Topic 1 below.
  52.  
  53.     INN itself attempts to carefully remove certain shell "metacharacters"
  54.     from data in control messages before passing that data to a shell. The
  55.     patch for Topic 1 fixes some of the checks that were found to be
  56.     inadequate. However ucbmail, a program typically configured as the mailer
  57.     INN should use, lacks similar checks. INN passes some data unchecked to
  58.     this mailer, which in turn passes the data to a shell for processing.
  59.  
  60.     James Brister, the current maintainer of INN, has made a patch available
  61.     that checks more data before it is passed to the mailer program. Although
  62.     only the ucbmail program is known to have this problem, sites are
  63.     encouraged to apply the patch regardless of what mail program their INN is
  64.     configured to use.
  65.  
  66.  
  67.     Topic 1 - Information provided with the initial advisory
  68.     ---------------------------------------------------------
  69.     The INN daemon (innd) processes "newgroup" and "rmgroup" control messages
  70.     in a shell script (parsecontrol) that uses the shell's "eval" command.
  71.     However, some of the information passed to eval comes from the message
  72.     without adequate checks for characters that are special to the shell.
  73.  
  74.     This permits anyone who can send messages to an INN server - almost anyone
  75.     with Usenet access - to execute arbitrary commands on that server. These
  76.     commands run with the uid and privileges of the "innd" process on that
  77.     server. Because such messages are usually passed through Internet
  78.     firewalls to a site's news server, servers behind such firewalls are
  79.     vulnerable to attack. Also, the program executes these commands before
  80.     checking whether the sender is authorized to create or remove newsgroups,
  81.     so checks at that level (such as running pgpverify) do not prevent this
  82.     problem.
  83.  
  84.     As of the advisory update of March 18, 1997, we have received numerous
  85.     reports that the vulnerability is being exploited.
  86.  
  87.     Determining if you are vulnerable
  88.     ---------------------------------
  89.     You can determine which version of INN your site is running by connecting
  90.     to the NNTP port (119) of your news server. For example:
  91.  
  92.           % telnet news.your.site 119
  93.           Connected to news.your.site
  94.           Escape character is '^]'.
  95.           200 news.your.site InterNetNews server INN 1.4unoff4 05-Mar-96 ready
  96.  
  97.     Type "quit" to exit the connection. Note that this does not indicate
  98.     whether or not the patch recommended below has been installed.
  99.  
  100.  
  101. II. Impact
  102.  
  103.     (applies to both topics 1 & 2)
  104.  
  105.     Remote, unauthorized users can execute arbitrary commands on the
  106.     system with the same privileges as the innd (INN daemon) process.
  107.     Attacks may reach news servers located behind Internet firewalls.
  108.  
  109.  
  110. III. Solution
  111.  
  112.      Warning: If you applied any of the solutions offered in the version of
  113.               this advisory released on Feb. 20, 1997, you must add an
  114.               additional patch.
  115.  
  116.      (The following recommendations apply to both topics 1 & 2.)
  117.  
  118.      We recommend upgrading to version 1.5.1 and applying the patch developed
  119.      by James Brister, the current maintainer of INN (Section III. A). If you
  120.      upgraded previously, you must apply this new patch to protect against the
  121.      second vulnerability. Until you can upgrade, you need to apply two
  122.      patches (Section III. B). You may also want to consult your vendor.
  123.      Vendors who have provided input for this advisory are listed in
  124.      Sec. III.C and Appendix A.
  125.  
  126.      After installing any of the patches or updates, ensure that you
  127.      restart your INN server.
  128.  
  129.  
  130.      A. Upgrade to INN 1.5.1 and apply a patch.
  131.  
  132.         The current version of INN is 1.5.1. It is not vulnerable to the first
  133.         vulnerability; but it is vulnerable to the second, so a patch is
  134.         necessary.
  135.  
  136.         When you upgrade to INN 1.5.1, please be sure to read the README file
  137.         carefully.
  138.  
  139.         INN 1.5.1 and information about it are available from
  140.  
  141.                 http://www.isc.org/inn.html
  142.  
  143.         The md5 checksum for the gzip'ed tar file is
  144.                 MD5 (inn-1.5.1.tar.gz) = 555d50c42ba08ece16c6cdfa392e0ca4
  145.  
  146.         The patch is available from
  147.                 ftp://ftp.isc.org:/isc/inn/patches/security-patch.05
  148.  
  149.         Note that the advisory originally pointed to patch 04; there was a
  150.         problem with this patch. You need to install patch 05.
  151.  
  152.         Checksums for patches are in the directory, along with a README.
  153.  
  154.  
  155.      B. If you do not upgrade to 1.5.1, apply a patch for the version you are
  156.         running and then apply the newly released patch that addresses the
  157.         second vulnerability discussed in this advisory. If you are running
  158.         INN 1.4sec2, you should upgrade to 1.5.1 as no patches are available.
  159.  
  160.    FIRST apply:
  161.    version               patch
  162.    -------               -----
  163.     1.5                   ftp://ftp.isc.org/isc/inn/patches/security-patch.01
  164.     1.4sec                ftp://ftp.isc.org/isc/inn/patches/security-patch.02
  165.     1.4unoff3, 1.4unoff4  ftp://ftp.isc.org/isc/inn/patches/security-patch.03
  166.  
  167.  
  168.    THEN apply (1.5.1, 1.5, 1.4sec, 1.4unoff3, 1.4unoff4)
  169.                           ftp://ftp.isc.org:/isc/inn/patches/security-patch.05
  170.  
  171.         Note that the advisory originally pointed to patch 04; there was a
  172.         problem with this patch. You need to install patch 05.
  173.  
  174.     There are md5 checksums for each file in the directory, and a README file
  175.     describes what is what.
  176.  
  177.  
  178.      C. Consult your vendor
  179.  
  180.         Below is a list of vendors who have provided information about INN.
  181.         Details are in Appendix A of this advisory; we will update the
  182.         appendix as we receive more information. If your vendor's name is not
  183.         on this list, the CERT/CC did not hear from that vendor. Please
  184.         contact your vendor directly.
  185.  
  186.            Berkeley Software Design, Inc. (BSDI)
  187.            Caldera
  188.            Cray Research - A Silicon Graphics Company
  189.            Debian Linux
  190.            NEC Corporation
  191.            Netscape
  192.            Red Hat Linux
  193.  
  194.  
  195. ...........................................................................
  196.  
  197. Appendix A - Vendor Information
  198.  
  199. Below is a list of the vendors who have provided information for this
  200. advisory, along with an indication about whether the information relates to
  201. the first vulnerability or both. We will update this appendix as we receive
  202. additional information.  If you do not see your vendor's name, the CERT/CC did
  203. not hear from that vendor. Please contact the vendor directly.
  204.  
  205.  
  206. Berkeley Software Design, Inc. (BSDI)
  207. ====================================
  208. For Topic 1
  209.         We ship INN as part of our distribution.  BSD/OS 2.1 includes INN
  210.         1.4sec and 2.1 users should apply the patch referenced in the
  211.         advisory.  BSD/OS 3.0 includes INN 1.4unoff4 and the patch for that
  212.         version is already included so BSD/OS 3.0 is not vulnerable as
  213.         distributed.
  214.  
  215.  
  216. Caldera
  217. =======
  218. For Topic 1
  219.         An upgrade package for Caldera OpenLinux Base 1.0 will appear at
  220.         Caldera's site:
  221.  
  222. ftp://ftp.caldera.com/pub/col-1.0/updates/Helsinki/004/inn-1.5.1-2.i386.rpm
  223.  
  224.         MD5 sum is:
  225.  
  226.         3bcd3120b93f41577d3246f3e9276098  inn-1.5.1-2.i386.rpm
  227.  
  228.  
  229. Cray Research - A Silicon Graphics Company
  230. ==========================================
  231. For Topics 1 and 2
  232.         Cray Research has never shipped any news server with Unicos.
  233.  
  234.  
  235. Debian Linux
  236. ============
  237. For Topic 1
  238.         The current version of INN shipped with Debian is 1.4unoff4. However
  239.         the "unstable" (or development) tree contains inn-1.5.1. It can be
  240.         gotten from any debian mirror in the subdirectory
  241.  
  242.         debian/unstable/binary/news
  243.  
  244. d3603d9617fbf894a3743a330544b62e 591154 news optional inn_1.5.1-1_i386.deb
  245. 205850779d2820f03f2438d063e1dc51 45230 news optional inn-dev_1.5.1-1_i386.deb
  246. badbe8431479427a4a4de8ebd6e1e150 31682 news optional inewsinn_1.5.1-1_i386.deb
  247.  
  248.  
  249. NEC Corporation
  250. ===============
  251. For Topics 1 and 2
  252.          Products below are shipped with INN mentioned in this advisory,
  253.          so they are vulnerable and patches are in progress.
  254.  
  255.          Goah/NetworkSV R1.2     vulnerable
  256.          Goah/NetworkSV R2.2     vulnerable
  257.          Goah/NetworkSV R3.1     vulnerable
  258.          Goah/IntraSV R1.1       vulnerable
  259.  
  260.  
  261. Netscape
  262. ========
  263. For Topic 2
  264.      The Netscape News Server 2.01 and current beta (and future shipping)
  265.      versions of Netscape Collabra Server are NOT vulnerable to this problem
  266.      because the Netscape News Server uses its own mailer instead of
  267.      'ucbmail'. The Netscape News Server mailer is a simple SMTP front-end
  268.      that DOES NOT pass anything to the shell. Hence it is immune to the
  269.      vulnerability outlined in topic 2 of the advisory.
  270.  
  271.      Netscape News Server 1.1 users should apply the patch recommended by the
  272.      Cert Advisory to solve this problem.
  273.  
  274. For Topic 1
  275.      The Netscape News Server 2.01 is immune to the attack outlined in the
  276.      advisory.
  277.  
  278.      The News Server 1.1 is, however, subject to the same vulnerability as INN
  279.      and we have advised customers to install the patch described in the
  280.      advisory.
  281.  
  282.  
  283.  
  284. Red Hat Linux
  285. =============
  286. For Topics 1 and 2
  287. There is a critical security hole in INN which affects all versions of Red Hat
  288. Linux. A new version, inn-1.5.1-6, is now available for Red Hat Linux 4.0 and
  289. 4.1 for all platforms. If you are running an earlier version of Red Hat, we
  290. strongly encourage you to upgrade to 4.1 as soon as possible, as many critical
  291. security fixes have been made. The new version of inn is PGP signed with the
  292. Red Hat PGP key, which is available on all Red Hat CDROMs, ftp.redhat.com, and
  293. public keyservers.
  294.  
  295. You may upgrade to the new version as follows:
  296.  
  297. Red Hat 4.1
  298. - -----------
  299.  
  300. i386:
  301. rpm -Uvh ftp://ftp.redhat.com/updates/4.1/i386/inn-1.5.1-6.i386.rpm
  302.  
  303. alpha:
  304. rpm -Uvh ftp://ftp.redhat.com/updates/4.1/alpha/inn-1.5.1-6.alpha.rpm
  305.  
  306. SPARC:
  307. rpm -Uvh ftp://ftp.redhat.com/updates/4.1/sparc/inn-1.5.1-6.sparc.rpm
  308.  
  309. Red Hat 4.0
  310. - -----------
  311.  
  312. i386:
  313. rpm -Uvh ftp://ftp.redhat.com/updates/4.0/i386/inn-1.5.1-6.i386.rpm
  314.  
  315. alpha:
  316. rpm -Uvh ftp://ftp.redhat.com/updates/4.0/alpha/inn-1.5.1-6.alpha.rpm
  317.  
  318. SPARC:
  319. rpm -Uvh ftp://ftp.redhat.com/updates/4.0/sparc/inn-1..5.1-6.sparc.rpm
  320.  
  321.  
  322. - -----------------------------------------------------------------------------
  323. The CERT Coordination Center thanks James Brister of the Internet Software
  324. Consortium for making fixes available and Matt Power of MIT for
  325. analyzing and reporting the first problem. We also thank AUSCERT for their
  326. contributions to this advisory. James Crawford Ralston of the University of
  327. Pittsburgh and Frank Miller of Tektronix Corporation assisted with the
  328. March 18, 1997 update.
  329.  
  330. The second vulnerability addressed in this advisory was discovered by security
  331. experts in the Global Security Analysis Laboratory (GSAL) at IBM's
  332. T.J. Watson Research Center. We thank the IBM Emergency Response Service for
  333. providing information on this topic. (They published information in
  334. ERS-SVA-E01-1997:002.1. Their alert is copyrighted 1997 by International
  335. Business Machines Corporation.)
  336.  
  337. - -----------------------------------------------------------------------------
  338.  
  339. If you believe that your system has been compromised, contact the CERT
  340. Coordination Center or your representative in the Forum of Incident Response
  341. and Security Teams (see http://www.first.org/team-info).
  342.  
  343.  
  344. CERT/CC Contact Information
  345. - ----------------------------
  346. Email    cert@cert.org
  347.  
  348. Phone    +1 412-268-7090 (24-hour hotline)
  349.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  350.                 and are on call for emergencies during other hours.
  351.  
  352. Fax      +1 412-268-6989
  353.  
  354. Postal address
  355.          CERT Coordination Center
  356.          Software Engineering Institute
  357.          Carnegie Mellon University
  358.          Pittsburgh PA 15213-3890
  359.          USA
  360.  
  361. Using encryption
  362.    We strongly urge you to encrypt sensitive information sent by email. We can
  363.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  364.    Location of CERT PGP key
  365.          ftp://info.cert.org/pub/CERT_PGP.key
  366.  
  367. Getting security information
  368.    CERT publications and other security information are available from
  369.         http://www.cert.org/
  370.         ftp://info.cert.org/pub/
  371.  
  372.    CERT advisories and bulletins are also posted on the USENET newsgroup
  373.         comp.security.announce
  374.  
  375.    To be added to our mailing list for advisories and bulletins, send
  376.    email to
  377.         cert-advisory-request@cert.org
  378.    In the subject line, type
  379.         SUBSCRIBE  your-email-address
  380.  
  381. - ---------------------------------------------------------------------------
  382. Copyright 1997 Carnegie Mellon University
  383. This material may be reproduced and distributed without permission provided
  384. it is used for noncommercial purposes and the copyright statement is
  385. included.
  386.  
  387. * Registered U.S. Patent and Trademark Office.
  388. - ---------------------------------------------------------------------------
  389.  
  390. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.08.innd
  391.            http://www.cert.org
  392.                click on "CERT Advisories"
  393.  
  394. ==============================================================================
  395. UPDATES
  396.  
  397. March 18, 1997
  398. - --------------
  399. If you are upgrading to INN 1.5.1, please be sure to read the README file
  400. carefully. Note that if you are upgrading to 1.5.1 from a previous release,
  401. running a "make update" alone is not sufficient to ensure that all of the
  402. vulnerable scripts are replaced (e.g., parsecontrol). Please especially note
  403. the following from the INN 1.5.1 distribution README file:
  404.  
  405.         When updating from a previous release, you will usually want
  406.         to do "make update" from the top-level directory; this will
  407.         only install the programs.  To update your scripts and config
  408.         files, cd into the "site" directory and do "make clean" --
  409.         this will remove any files that are unchanged from the
  410.         official release.  Then do "make diff >diff"; this will show
  411.         you what changes you will have to merge in.  Now merge in your
  412.         changes (from where the files are, ie. /usr/lib/news...) into
  413.         the files in $INN/site.  (You may find that due to the bug
  414.         fixes and new features in this release, you may not need to
  415.         change any of the scripts, just the configuration files).
  416.         Finally, doing "make install" will install everything.
  417.  
  418. After installing any of the patches or updates, ensure that you
  419. restart your INN server.
  420.  
  421. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  422. Revision history
  423.  
  424. Apr 04, 1997    Appendix A - added information from Netscape about Topic 2
  425.                 Solution sections III.A and B - replaced pointer to patch 04
  426.                    with patch 05 and noted that you must use patch 05
  427.                 Contact information - corrected the URL for FIRST
  428.  
  429. Apr 03, 1997  Added information on a second vulnerability (labeled Topic 2),
  430.               including a new patch that must be applied to many versions of
  431.               INN. Labeled vendor information as input on Topic 1 or 2.
  432.  
  433. Mar 25, 1997  Section III.B - added a note that no patches are available for
  434.                               version 1.4sec2.
  435. Mar 24, 1997  Appendix A - added information from Netscape.
  436. Mar 21, 1997  Appendix A - added information from NEC Corporation.
  437. Mar 18, 1997  Updates section - added a caution for sites upgrading to 1.5.1
  438.               Acknowledgments - added J. C. Ralston and F. Miller
  439.  
  440. Mar 17, 1997   Section III.B - corrected patch information (patch.03 must be
  441.                used for 1.4unoff3, 1.4unoff4 rather than patch.01); added a
  442.                URL for INN information.
  443.  
  444.                Section III.A and introduction - noted that the vulnerability
  445.                is being actively exploited.
  446.  
  447.  
  448. -----BEGIN PGP SIGNATURE-----
  449. Version: 2.6.2
  450.  
  451. iQCVAwUBM0WIP3VP+x0t4w7BAQGX3QQArFZiqCo5mdIAU53xNtsuBA1q4wG/ZvE6
  452. U4H85iw/pRk4P3ffFvGkKXo+oFeliQaSmAFrrAlm9ZcSqwujfbzVuSngzvIdDhEx
  453. yx/F2+rTrEqAzzIfSUPw8FFvmKQdvaI1fyOdNpZp08Cmq7lrUS8lr6MJKm5re2Zl
  454. dQyCVTVusEM=
  455. =aVhD
  456. -----END PGP SIGNATURE-----
  457.  
  458.