home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0143.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  15.3 KB  |  423 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.11
  6. Original issue date: May 1, 1997
  7. Last revised: -- May 8, 1997
  8.                  Appendix A - updated vendor information for Hewlett-Packard.
  9.                  
  10.                  A complete revision history is at the end of this file.
  11.  
  12. Topic: Vulnerability in libXt
  13. - -----------------------------------------------------------------------------
  14.  
  15. There have been discussions on public mailing lists about buffer overflows in
  16. the Xt library of the X Windowing System made freely available by The Open
  17. Group (and previously by the now-defunct X Consortium). The specific problem
  18. outlined in those discussions was a buffer overflow condition in the Xt
  19. library, and the file xc/lib/Xt/Error.c. Exploitation scripts were made
  20. available.
  21.  
  22. Since then (the latter half of 1996), The Open Group has extensively reviewed
  23. the source code for the entire distribution to address the potential for
  24. further buffer overflow conditions. These conditions can make it possible for
  25. a local user to execute arbitrary instructions as a privileged user without
  26. authorization.
  27.  
  28. The programs that pose a potential threat to sites are those programs that
  29. have been built from source code prior to X11 Release 6.3 and have setuid or
  30. setgid bits set. Some third-party vendors distribute derivatives of the X
  31. Window System, and if you use a distribution that includes X tools that have
  32. setuid or setgid bits set, you may be vulnerable as well.
  33.  
  34. The CERT/CC team recommends upgrading to X11 Release 6.3 or installing a
  35. patch from your vendor. If you cannot do one of these, then as a last resort
  36. we recommend that you remove the setuid or setgid bits from any executable
  37. files contained in your distribution of X; this may have an adverse effect on
  38. some system operations.
  39.  
  40. We will update this advisory as we receive additional information.
  41. Please check advisory files regularly for updates that relate to your site.
  42.  
  43. - -----------------------------------------------------------------------------
  44.  
  45. I.   Description
  46.  
  47.      There have been discussions on public mailing lists about buffer
  48.      overflows in the Xt library of the X Windowing System made freely
  49.      available by The Open Group (and previously by the now-defunct X
  50.      Consortium). During these discussions, exploitation scripts were made
  51.      available for some platforms.**
  52.  
  53.      The specific problem outlined in those discussions was a buffer overflow
  54.      condition in the Xt library and the file xc/lib/Xt/Error.c. It was
  55.      possible for a user to execute arbitrary instructions as a privileged
  56.      user using a program built by this distribution with setuid or setgid
  57.      bits set.
  58.  
  59.      Note that in this case a root compromise was only possible when
  60.      programs built from this distribution (e.g., xterm) were setuid
  61.      root.
  62.  
  63.      Since then The Open Group has extensively reviewed the source code for
  64.      the entire distribution to address the potential for further buffer
  65.      overflow condition.
  66.  
  67.      If you use a distribution of the X Windowing System earlier than
  68.      X11 Release 6.3 that you downloaded and compiled yourself, we
  69.      encourage you to take the steps outlined in either Section IV A or C.
  70.  
  71.      If you use third-party vendor-supplied distributions of the X
  72.      Windowing System containing setuid root programs, we encourage
  73.      you to take the steps outlined in Sections IV B or C.
  74.  
  75.      ** Note: Discussions of this specific instance of the vulnerability
  76.         appeared on mailing lists during the second half of 1996. Exploitation
  77.         scripts were made public at that time.
  78.  
  79. II.  Impact
  80.  
  81.      Platforms that have X applications built with the setuid or setgid bits
  82.      set may be vulnerable to buffer overflow conditions. These conditions can
  83.      make it possible for a local user to execute arbitrary instructions as a
  84.      privileged user without authorization. Access to an account on the system
  85.      is necessary for exploitation.
  86.  
  87.  
  88. III. Finding Potentially Vulnerable Distributions
  89.  
  90.      A.  For Sites That Download and Build Their Own Distributions
  91.  
  92.      As discussed earlier, the programs that pose a potential threat to sites
  93.      are those programs that have been built from source code, prior to X11
  94.      Release 6.3 and have setuid or setgid bits set.
  95.  
  96.      Sites that have downloaded the X source code from the X Consortium
  97.      should be able to identify such programs by looking in the directory
  98.      hierarchy defined by the "ProjectRoot" constant described in the
  99.      xc/config/cf/site.def file in the source code distribution. The
  100.      default is /usr/X11R6.3. The X11R6.3 Installation Guide states:
  101.  
  102.         "ProjectRoot
  103.               The destination where X will be installed.  This variable
  104.               needs to be set before you build, as some programs that read
  105.               files at run-time have the installation directory compiled
  106.               in to them.  Assuming you have set the variable to some value
  107.               /path, files will be installed into /path/bin,
  108.               /path/include/X11, /path/lib, and /path/man."
  109.  
  110.  
  111.      B.  For Vendor-Supplied Distributions
  112.  
  113.      Some third-party vendors distribute derivatives of the X Window
  114.      System. If you use a distribution that includes X tools that have
  115.      setuid or setgid bits set, then you may need to apply Solution B or C
  116.      in Section IV.
  117.  
  118.      If you use a distribution that does not have setuid or setgid bits
  119.      enabled on any X tools, then you do not need to take any of the steps
  120.      listed below.
  121.  
  122.      Below is a list of vendors who have provided information about this
  123.      problem. If your vendor's name is not on this list and you need
  124.      clarification, you should check directly with your vendor.
  125.  
  126.  
  127. IV.  Solution
  128.  
  129.      If any X tools that you are using are potentially vulnerable (see Section
  130.      III), we encourage you to take one of the following steps. If the setuid
  131.      or setgid bits are not enabled on any of the tools in your distribution,
  132.      you do not need to take any of the steps listed below.
  133.  
  134.      For distributions that were built directly from the source code
  135.      supplied by The Open Group (and previously by the X Consortium), we
  136.      encourage you to apply either Solutions A or C. For vendor-supplied
  137.      distributions, we encourage you to apply either Solutions B or C.
  138.  
  139.  
  140.      A.  Upgrade to X11 Release 6.3
  141.  
  142.          If you download and build your own distributions directly from the
  143.          source code, we encourage you to install the latest version, X11
  144.          Release 6.3. The source code can be obtained from
  145.  
  146.                 ftp://ftp.x.org/pub/R6.3/tars/xc-1.tar.gz
  147.                 ftp://ftp.x.org/pub/R6.3/tars/xc-2.tar.gz
  148.                 ftp://ftp.x.org/pub/R6.3/tars/xc-3.tar.gz
  149.  
  150.          Note that these distributions are very large. The compressed
  151.          files consume about 40M of disk space. The uncompressed tar files
  152.          consume about 150M of disk space.
  153.  
  154.  
  155.      B.  Install a patch from your vendor
  156.  
  157.          Below is a list of vendors who have provided information about
  158.          this problem. Details are in Appendix A of this advisory; we will
  159.          update the appendix as we receive more information. If your
  160.          vendor's name is not on this list, the CERT/CC did not hear from
  161.          that vendor. Please contact your vendor directly.
  162.  
  163.             Berkeley Software Design, Inc. (BSDI)
  164.             Digital Equipment Corporation (DEC)
  165.             FreeBSD, Inc.
  166.             Hewlett-Packard Company
  167.             IBM Corporation
  168.             NEC Corporation
  169.             NeXT Software, Inc.
  170.             The Open Group (formerly OSF/X Consortium)
  171.             The Santa Cruz Operation, Inc. (SCO)
  172.             Sun Microsystems, Inc.
  173.  
  174.  
  175.      C.  Remove the setuid bit from affected programs
  176.  
  177.          If you are unable to apply Solutions A or B, then as a last resort
  178.          we recommend removing the setuid or setgid bits from the
  179.          executable files in your distribution of X.
  180.  
  181.          Note that this may have an adverse effect on some system
  182.          operations.  For instance, on some systems the xlock program needs
  183.          to have the setuid bit enabled so that the shadow password file
  184.          can be read to unlock the screen. By removing the setuid bit from
  185.          this program, you remove the ability of the xlock program to read
  186.          the shadow password file. This means that particular version of
  187.          the xlock program should not be used at all, or it should be
  188.          killed from another terminal when necessary.
  189.  
  190.  
  191. ...........................................................................
  192.  
  193. Appendix A - Vendor Information
  194.  
  195. Below is a list of the vendors who have provided information for this
  196. advisory. We will update this appendix as we receive additional information.
  197. If you do not see your vendor's name, the CERT/CC did not hear from that
  198. vendor. Please contact the vendor directly.
  199.  
  200.  
  201. Berkeley Software Design, Inc. (BSDI)
  202. =====================================
  203.   We released a patch for this for the 2.1 BSD/OS release,
  204.   and it's already fixed in our current release.
  205.  
  206.  
  207. Digital Equipment Corporation (DEC)
  208. ===================================
  209. At the time of writing this document, patches(binary kits) are in progress and
  210. final testing is expected to begin soon.  Digital will provide notice of the
  211. completion/availability of the patches through AES services (DIA, DSNlink
  212. FLASH) and be available from your normal Digital Support channel.
  213.  
  214.  
  215. FreeBSD, Inc.
  216. =============
  217. We're aware of the problem and are trying to correct it with a new release of
  218. the Xt library.
  219.  
  220.  
  221. Hewlett-Packard Company
  222. =======================
  223.   HPSBUX9704-058
  224.   Description: Security Vulnerability in libXt for HP-UX 9.X & 10.X
  225.  
  226.   HEWLETT-PACKARD SECURITY BULLETIN: #00058  libXt
  227.  
  228.   Security Bulletins are available from the HP Electronic 
  229.   Support Center via electronic mail.
  230.  
  231.   User your browser to get to the HP Electronic Support 
  232.   Center page at:
  233.  
  234.            http://us-support.external.hp.com
  235.            (for US, Canada, Asia-Pacific, & Latin-America)
  236.  
  237.            http://europe-support.external.hp.com 
  238.            (for Europe)
  239.  
  240.  
  241. IBM Corporation
  242. ===============
  243.   See the appropriate release below to determine your action.
  244.  
  245.  
  246.   AIX 3.2
  247.   -------
  248.     Apply the following fix to your system:
  249.  
  250.        APAR - IX61784,IX67047,IX66713 (PTF - U445908,U447740)
  251.  
  252.     To determine if you have this PTF on your system, run the following
  253.     command:
  254.  
  255.        lslpp -lB U445908 U447740
  256.  
  257.  
  258.   AIX 4.1
  259.   -------
  260.     Apply the following fix to your system:
  261.  
  262.         APAR - IX61031 IX66736 IX66449
  263.  
  264.     To determine if you have this APAR on your system, run the following
  265.     command:
  266.  
  267.  
  268.        instfix -ik IX61031 IX66736 IX66449
  269.  
  270.     Or run the following command:
  271.  
  272.        lslpp -h X11.base.lib
  273.  
  274.     Your version of X11.base.lib should be 4.1.5.2 or later.
  275.  
  276.  
  277.   AIX 4.2
  278.   -------
  279.     Apply the following fix to your system:
  280.  
  281.         APAR - IX66824 IX66352
  282.  
  283.     To determine if you have this APAR on your system, run the following
  284.     command:
  285.  
  286.        instfix -ik IX66824 IX66352
  287.  
  288.     Or run the following command:
  289.  
  290.        lslpp -h X11.base.lib
  291.  
  292.     Your version of X11.base.lib should be 4.2.1.0 or later.
  293.  
  294.  
  295.   To Order
  296.   --------
  297.     APARs may be ordered using Electronic Fix Distribution (via FixDist)
  298.     or from the IBM Support Center.  For more information on FixDist,
  299.     reference URL:
  300.  
  301.        http://service.software.ibm.com/aixsupport/
  302.  
  303.  
  304.     or send e-mail to aixserv@austin.ibm.com with a subject of "FixDist".
  305.  
  306.  
  307.   IBM and AIX are registered trademarks of International Business Machines
  308.   Corporation.
  309.  
  310.  
  311. NEC Corporation
  312. ===============
  313.    EWS-UX/V(Rel4.2) R7.x - R10.x   vulnerable
  314.    EWS-UX/V(Rel4.2MP) R10.x        vulnerable
  315.    UP-UX/V(Rel4.2MP) R5.x - R7.x   vulnerable
  316.    UX/4800 R11.x - current         vulnerable
  317.  
  318.    Patches for this vulnerability are in progress.
  319.    For further information, please contact by e-mail:
  320.       UX48-security-support@nec.co.jp
  321.  
  322.  
  323. NeXT Software, Inc.
  324. ===================
  325. X-Windows is not part of any NextStep or OpenStep release.  We are not
  326. vulnerable to this problem.
  327.  
  328.  
  329. The Open Group (formerly OSF/X Consortium)
  330. ================================
  331. Not vulnerable.
  332.  
  333.  
  334. The Santa Cruz Operation, Inc. (SCO)
  335. ====================================
  336. We are investigating this problem and will provide updated
  337. information for this advisory when it becomes available.
  338.  
  339.  
  340. Sun Microsystems, Inc.
  341. ======================
  342. We are investigating.
  343.  
  344.  
  345. - -----------------------------------------------------------------------------
  346. The CERT Coordination Center staff thanks Kaleb Keithley of The Open Group
  347. for helping us understand the nature and scope of this problem.
  348. - -----------------------------------------------------------------------------
  349.  
  350. If you believe that your system has been compromised, contact the CERT
  351. Coordination Center or your representative in the Forum of Incident Response
  352. and Security Teams (see http://www.first.org/team-info).
  353.  
  354.  
  355. CERT/CC Contact Information
  356. - ----------------------------
  357. Email    cert@cert.org
  358.  
  359. Phone    +1 412-268-7090 (24-hour hotline)
  360.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  361.                 and are on call for emergencies during other hours.
  362.  
  363. Fax      +1 412-268-6989
  364.  
  365. Postal address
  366.          CERT Coordination Center
  367.          Software Engineering Institute
  368.          Carnegie Mellon University
  369.          Pittsburgh PA 15213-3890
  370.          USA
  371.  
  372. Using encryption
  373.    We strongly urge you to encrypt sensitive information sent by email. We can
  374.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  375.    Location of CERT PGP key
  376.          ftp://info.cert.org/pub/CERT_PGP.key
  377.  
  378. Getting security information
  379.    CERT publications and other security information are available from
  380.         http://www.cert.org/
  381.         ftp://info.cert.org/pub/
  382.  
  383.    CERT advisories and bulletins are also posted on the USENET newsgroup
  384.         comp.security.announce
  385.  
  386.    To be added to our mailing list for advisories and bulletins, send
  387.    email to
  388.         cert-advisory-request@cert.org
  389.    In the subject line, type
  390.         SUBSCRIBE  your-email-address
  391.  
  392. - ---------------------------------------------------------------------------
  393. Copyright 1997 Carnegie Mellon University
  394. This material may be reproduced and distributed without permission provided
  395. it is used for noncommercial purposes and the copyright statement is
  396. included.
  397.  
  398. * Registered U.S. Patent and Trademark Office.
  399. - ---------------------------------------------------------------------------
  400.  
  401. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.11.libXt
  402.            http://www.cert.org
  403.                click on "CERT Advisories"
  404.  
  405.  
  406. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  407. Revision history
  408.  
  409. May 8, 1997  Appendix A - updated vendor information for Hewlett-Packard.
  410.          
  411.     
  412.  
  413. -----BEGIN PGP SIGNATURE-----
  414. Version: 2.6.2
  415.  
  416. iQCVAwUBM3HXKXVP+x0t4w7BAQFjLQQAgvYq9u5lUd2irfoglgv00IxEWePKL2fT
  417. Mc+vj8Svd8xcRDEhmcHMGZAFPwB05RaJmOQOr9bNcYaVHp5u5Da0+hDl0mHwWyxS
  418. 5x779xU6NOhE8CLjcqxCRGUrXqbldu/89Rze/UHP7yZd7E6R3pys6SizNiAR39Ge
  419. GoFlks3TvAg=
  420. =+hJc
  421. -----END PGP SIGNATURE-----
  422.  
  423.