home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0144.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.8 KB  |  251 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.12
  6. Original issue date: May 6, 1997
  7. Last revised: May 7, 1997
  8.               Introduction - Corrected the AUSCERT advisory number.
  9.               Acknowledgments - Corrected the AUSCERT advisory number
  10.                 and removed a company name.
  11.  
  12. Topic: Vulnerability in webdist.cgi
  13. - -----------------------------------------------------------------------------
  14.  
  15. The CERT Coordination Center has received reports of a security
  16. vulnerability in the webdist.cgi cgi-bin program, part of the IRIX
  17. Mindshare Out Box package, available with IRIX 5.x and 6.x. By exploiting
  18. this vulnerability, both local and remote users may be able to execute
  19. arbitrary commands with the privileges of the httpd daemon. This may be
  20. used to compromise the http server and under certain configurations gain
  21. privileged access.
  22.  
  23. Currently there are no official vendor patches available which address the
  24. vulnerability described in this advisory. We recommend that sites prevent
  25. the exploitation of this vulnerability by immediately applying the workaround
  26. given in Section III.A. If the package is not required, we recommend
  27. removing it from their systems.
  28.  
  29. When patches are made available, they should be applied as soon as possible.
  30.  
  31. We will update this advisory as we receive additional information.
  32. Please check our advisory files regularly for updates that relate to your
  33. site.
  34.  
  35. Note: Development of this advisory was a joint effort of the CERT Coordination
  36.       Center and AUSCERT. This material was also released as AUSCERT advisory
  37.       AA-97.14.
  38. - -----------------------------------------------------------------------------
  39.  
  40. I.   Description
  41.  
  42.      A security vulnerability has been reported in the webdist.cgi cgi-bin
  43.      program available with IRIX 5.x and 6.x. webdist.cgi is part of the
  44.      IRIX Mindshare Out Box software package, which allows users to install
  45.      software over a network via a World Wide Web interface.
  46.  
  47.      webdist.cgi allows webdist(1) to be used via an HTML form interface
  48.      defined in the file webdist.html, which is installed in the default
  49.      document root directories for both the Netsite and Out Box servers.
  50.  
  51.      Due to insufficient checking of the arguments passed to webdist.cgi, it
  52.      may be possible to execute arbitrary commands with the privileges of
  53.      the httpd daemon. This is done via the webdist program.
  54.  
  55.      When installed, webdist.cgi is accessible by anyone who can connect to
  56.      the httpd daemon. Because of this, the vulnerability may be exploited by
  57.      remote users as well as local users. Even if a site's webserver is
  58.      behind a firewall, it may still be vulnerable.
  59.  
  60.      Determining if your site is vulnerable
  61.      --------------------------------------
  62.      All sites are encouraged to check their systems for the IRIX Mindshare
  63.      Out Box software package, and in particular the Webdist Software
  64.      package which is a subsystem of the Mindshare Out Box software
  65.      package. To determine if this package is installed, use the command:
  66.  
  67.      # versions outbox.sw.webdist
  68.  
  69.      I = Installed, R = Removed
  70.  
  71.      Name                   Date        Description
  72.  
  73.      I outbox               11/06/96    Outbox Environment, 1.2
  74.      I outbox.sw            11/06/96    Outbox End-User Software, 1.2
  75.      I outbox.sw.webdist    11/06/96    Web Software Distribution Tools, 1.2
  76.  
  77.  
  78. II.  Impact
  79.  
  80.      Local and remote users may be able to execute arbitrary commands on
  81.      the HTTP server with the privileges of the httpd daemon. This may be
  82.      used to compromise the http server and under certain configurations
  83.      gain privileged access.
  84.  
  85.  
  86. III. Solution
  87.  
  88.      Currently there are no official vendor patches available which address
  89.      the vulnerability described in this advisory. We recommend that
  90.      sites prevent the exploitation of this vulnerability by immediately
  91.      applying the workaround given in Section III.A or removing the
  92.      package from their systems (Section III.B).
  93.  
  94.      When patches are available, we recommend that sites apply them
  95.      as soon as possible.
  96.  
  97.  
  98.      A. Remove execute permissions
  99.  
  100.      Sites should immediately remove the execute permissions on the
  101.      webdist.cgi program to prevent its exploitation. By default, webdist.cgi
  102.      is found in /var/www/cgi-bin/, but sites should check all cgi-bin
  103.      directories for this program.
  104.  
  105.         # ls -l /var/www/cgi-bin/webdist.cgi
  106.         -rwxr-xr-x  1 root  sys  4438 Nov  6 12:44 /var/www/cgi-bin/webdist.cgi
  107.  
  108.         # chmod 400 /var/www/cgi-bin/webdist.cgi
  109.  
  110.         # ls -l /var/www/cgi-bin/webdist.cgi
  111.         -r--------  1 root  sys  4438 Nov  6 12:44 /var/www/cgi-bin/webdist.cgi
  112.  
  113.  
  114.      Note that this will prevent all users from using the webdist
  115.      program from the HTML form interface.
  116.  
  117.  
  118.      B. Remove outbox.sw.webdist subsystem
  119.  
  120.      If the Webdist software is not required, we recommend that sites remove
  121.      it completely from their systems. This can be done with the command:
  122.  
  123.         # versions remove outbox.sw.webdist
  124.  
  125.      Sites can check that the package has been removed with the command:
  126.  
  127.         # versions outbox.sw.webdist
  128.  
  129.  
  130. IV.  Additional Measures
  131.  
  132.     Sites should consider taking this opportunity to examine their entire
  133.     httpd configuration. In particular, all CGI programs that are not
  134.     required should be removed, and all those remaining should be examined
  135.     for possible security vulnerabilities.
  136.  
  137.     It is also important to ensure that all child processes of httpd are
  138.     running as a non-privileged user. This is often a configurable option.
  139.     See the documentation for your httpd distribution for more details.
  140.  
  141.     Numerous resources relating to WWW security are available. The following
  142.     pages may provide a useful starting point. They include links describing
  143.     general WWW security, secure httpd setup, and secure CGI programming.
  144.  
  145.         The World Wide Web Security FAQ:
  146.                 http://www-genome.wi.mit.edu/WWW/faqs/www-security-faq.html
  147.  
  148.         NSCA's "Security Concerns on the Web" Page:
  149.                 http://hoohoo.ncsa.uiuc.edu/security/
  150.  
  151.     The following book contains useful information including sections on
  152.     secure programming techniques.
  153.  
  154.         _Practical Unix & Internet Security_, Simson Garfinkel and
  155.         Gene Spafford, 2nd edition, O'Reilly and Associates, 1996.
  156.  
  157.     Please note that the CERT/CC and AUSCERT do not endorse the URLs that
  158.     appear above. If you have any problems with these sites, please contact
  159.     the site administrator.
  160.  
  161.  
  162. - -----------------------------------------------------------------------------
  163. This advisory is a collaborative effort between AUSCERT and the CERT
  164. Coordination Center. This material was also released as AUSCERT advisory
  165. AA-97.14.
  166.  
  167. We thank Yuri Volobuev for reporting this problem. We also thank Martin
  168. Nicholls (The University of Queensland) and Ian Farquhar for their assistance
  169. in further understanding this problem and its solution.
  170. - -----------------------------------------------------------------------------
  171.  
  172. If you believe that your system has been compromised, contact the CERT
  173. Coordination Center or your representative in the Forum of Incident Response
  174. and Security Teams (see http://www.first.org/team-info/)
  175.  
  176.  
  177. CERT/CC Contact Information
  178. - ----------------------------
  179. Email    cert@cert.org
  180.  
  181. Phone    +1 412-268-7090 (24-hour hotline)
  182.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  183.                 and are on call for emergencies during other hours.
  184.  
  185. Fax      +1 412-268-6989
  186.  
  187. Postal address
  188.          CERT Coordination Center
  189.          Software Engineering Institute
  190.          Carnegie Mellon University
  191.          Pittsburgh PA 15213-3890
  192.          USA
  193.  
  194. Using encryption
  195.    We strongly urge you to encrypt sensitive information sent by email. We can
  196.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  197.    Location of CERT PGP key
  198.          ftp://info.cert.org/pub/CERT_PGP.key
  199.  
  200. Getting security information
  201.    CERT publications and other security information are available from
  202.         http://www.cert.org/
  203.         ftp://info.cert.org/pub/
  204.  
  205.    CERT advisories and bulletins are also posted on the USENET newsgroup
  206.         comp.security.announce
  207.  
  208.    To be added to our mailing list for advisories and bulletins, send
  209.    email to
  210.         cert-advisory-request@cert.org
  211.    In the subject line, type
  212.         SUBSCRIBE  your-email-address
  213.  
  214. - ---------------------------------------------------------------------------
  215. * Registered U.S. Patent and Trademark Office.
  216.  
  217. Copyright 1997 Carnegie Mellon University
  218. This material may be reproduced and distributed without permission provided
  219. it is used for noncommercial purposes and the copyright statement is
  220. included.
  221.  
  222. The CERT Coordination Center is part of the Software Engineering Institute
  223. (SEI). The SEI is sponsored by the U.S. Department of Defense.
  224. - ---------------------------------------------------------------------------
  225.  
  226. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.12.webdist
  227.            http://www.cert.org
  228.                click on "CERT Advisories"
  229.  
  230.  
  231. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  232. Revision history
  233.  
  234. May 07, 1997  Introduction - Corrected the AUSCERT advisory number.
  235.               Acknowledgments - Corrected the AUSCERT advisory number
  236.                 and removed a company name.
  237.  
  238.  
  239.  
  240.  
  241. -----BEGIN PGP SIGNATURE-----
  242. Version: 2.6.2
  243.  
  244. iQCVAwUBM2/KU3VP+x0t4w7BAQGFMwP+Jnkc1P918RhF5HXa1itPn7z/Diz8VRTG
  245. hIugc9pMWsLtX2ibmxfAlZKB1oQyRLu/hDfvwqy83x8aqde3IWkwnIYUEnK8o1Gr
  246. hTrsD/iZ7VZUs59FHqZGy1htBdIy9xTIPVs+8a0gHrZTb0SYiNdhVzwCvr+Hbp5I
  247. M2alMpn2TUE=
  248. =A7Vq
  249. -----END PGP SIGNATURE-----
  250.  
  251.