home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0148.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  17.9 KB  |  533 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.16
  6. Original issue date: May 29, 1997
  7. Last revised: June 9, 1997
  8.               UPDATES, Vendor Information Added by CERT/CC - added information
  9.               for Sun Microsystems, Inc.
  10.  
  11.               A complete revision history is at the end of this file.
  12.  
  13. Topic: ftpd Signal Handling Vulnerability
  14.  
  15. - -----------------------------------------------------------------------------
  16.  
  17.    The text of this advisory was originally released by AUSCERT as AA-97.03
  18.    ftpd Signal Handling Vulnerability on January 29, 1997, and updated on
  19.    April 18, 1997. To give this document wider distribution, we are reprinting
  20.    the updated AUSCERT advisory here with their permission. Only the contact
  21.    information at the end has changed: AUSCERT contact information has been
  22.    replaced with CERT/CC contact information.
  23.  
  24.    Although the text of the AUSCERT advisory has not changed, additional
  25.    vendor information has been added immediately after the AUSCERT text.
  26.  
  27.    We will update this advisory as we receive additional information.
  28.    Look for it in an "Updates" section at the end of the advisory.
  29.  
  30. =============================================================================
  31.  
  32. AUSCERT has received information that there is a vulnerability in some
  33. versions of ftpd distributed and installed under various Unix platforms.
  34.  
  35. This vulnerability may allow regular and anonymous ftp users to read or
  36. write to arbitrary files with root privileges.
  37.  
  38. The vulnerabilities in ftpd affect various third party and vendor versions
  39. of ftpd.  AUSCERT recommends that sites take the steps outlined in section
  40. 3 as soon as possible.
  41.  
  42. This advisory will be updated as more information becomes available.
  43.  
  44. - ----------------------------------------------------------------------------
  45.  
  46. 1.  Description
  47.  
  48.     AUSCERT has received information concerning a vulnerability in some
  49.     vendor and third party versions of the Internet File Transfer Protocol
  50.     server, ftpd(8).
  51.  
  52.     This vulnerability is caused by a signal handling routine increasing
  53.     process privileges to root, while still continuing to catch other
  54.     signals.  This introduces a race condition which may allow regular,
  55.     as well as anonymous ftp, users to access files with root privileges.
  56.     Depending on the configuration of the ftpd server, this may allow
  57.     intruders to read or write to arbitrary files on the server.
  58.  
  59.     This attack requires an intruder to be able to make a network
  60.     connection to a vulnerable ftpd server.
  61.  
  62.     Sites should be aware that the ftp services are often installed by
  63.     default.  Sites can check whether they are allowing ftp services by
  64.     checking, for example, /etc/inetd.conf:
  65.  
  66.         # grep -i '^ftp' /etc/inetd.conf
  67.  
  68.     Note that on some systems the inetd configuration file may have a
  69.     different name or be in a different location.  Please consult your
  70.     documentation if the configuration file is not found in
  71.     /etc/inetd.conf.
  72.  
  73.     If your site is offering ftp services, you may be able to determine
  74.     the version of ftpd by checking the notice when first connecting.
  75.  
  76.     The vulnerability status of specific vendor and third party ftpd
  77.     servers can be found in Section 3.
  78.  
  79.     Information involving this vulnerability has been made publicly
  80.     available.
  81.  
  82. 2.  Impact
  83.  
  84.     Regular and anonymous users may be able to access arbitrary files with
  85.     root privileges.  Depending on the configuration, this may allow
  86.     anonymous, as well as regular, users to read or write to arbitrary
  87.     files on the server with root privileges.
  88.  
  89. 3.  Workarounds/Solution
  90.  
  91.     AUSCERT recommends that sites prevent the possible exploitation of
  92.     this vulnerability by immediately applying vendor patches if they are
  93.     available.  Specific vendor information regarding this vulnerability
  94.     is given in Section 3.1.
  95.  
  96.     If the ftpd supplied by your vendor is vulnerable and no patches are
  97.     available, sites may wish to install a third party ftpd which does
  98.     not contain the vulnerability described in this advisory (Section 3.2).
  99.  
  100. 3.1 Vendor patches
  101.  
  102.     The following vendors have provided information concerning the
  103.     vulnerability status of their ftpd distribution.  Detailed information
  104.     has been appended in Appendix A.  If your vendor is not listed below,
  105.     you should contact your vendor directly.
  106.  
  107.         Berkeley Software Design, Inc.
  108.         Digital Equipment Corporation
  109.         The FreeBSD Project
  110.         Hewlett-Packard Corporation
  111.         IBM Corporation
  112.         The NetBSD Project
  113.         The OpenBSD Project
  114.         Red Hat Software
  115.  
  116.         Washington University ftpd (Academ beta version)
  117.         Wietse Venema's logdaemon ftpd
  118.  
  119. 3.2 Third party ftpd distributions
  120.  
  121.     AUSCERT has received information that the following third party ftpd
  122.     distributions do not contain the signal handling vulnerability
  123.     described in this advisory:
  124.  
  125.         wu-ftpd 2.4.2-beta-12
  126.         logdaemon 5.6 ftpd
  127.  
  128.     Sites should ensure they are using the current version of this
  129.     software.  Information on these distributions is contained in Appendix A.
  130.  
  131.     Sites should note that these third party ftpd distributions may offer
  132.     some different functionality to vendor versions of ftpd.  AUSCERT
  133.     advises sites to read the documentation provided with the above third
  134.     party ftpd distributions before installing.
  135.  
  136. ...........................................................................
  137.  
  138. Appendix A
  139.  
  140. Berkeley Software Design, Inc. (BSDI)
  141. =====================================
  142.  
  143.     BSD/OS 2.1 is vulnerable to the ftpd problem described in this
  144.     advisory.  Patches have been issued and may be retrieved via the
  145.     <patches@BSDI.COM> email server or from:
  146.  
  147.         ftp://ftp.bsdi.com/bsdi/patches/patches-2.1/U210-033
  148.  
  149.  
  150. Digital Equipment Corporation
  151. =============================
  152.  
  153.     DIGITAL UNIX Versions:
  154.             3.2c, 3.2de1, 3.2de2, 3.2f, 3.2g, 4.0, 4.0a, 4.0b
  155.  
  156.     SOLUTION:
  157.  
  158.     This potential security vulnerability has been resolved
  159.     and an official patch kit is available for DIGITAL UNIX
  160.     V3.2g, V4.0, V4.0a, and V4.0b.
  161.  
  162.     This article will be updated accordingly when patch kits
  163.     for DIGITAL UNIX V3.2c, V3.2de1, V3.2de2, V3.2f become
  164.     available.
  165.  
  166.     The currently available patches may be obtained from your
  167.     normal Digital support channel or from the following URL.
  168.     (Select the appropriate version to locate this patch kit)
  169.  
  170.     ftp://ftp.service.digital.com/patches/public/dunix
  171.  
  172.     VERSION  KIT ID            SIZE     CHECK SUM
  173.     -------  ----------------  ------  --------------
  174.     v3.2g   SSRT0448U_v32g.tar 296960  32064  290
  175.     v4.0    SSRT0448U_v40.tar  542720  07434  530
  176.     v4.0a   SSRT0448U_v40a.tar 542720  43691  530
  177.     v4.0b   SSRT0448U_v40b.tar 471040  45701  460
  178.  
  179.  
  180.     Please refer to the applicable README notes information
  181.     prior to the installation of patch kits on your system.
  182.  
  183.     Note: The appropriate patch kit must be reinstalled
  184.           following any upgrade beginning with V3.2c
  185.           up to and including V4.0b.
  186.  
  187.  
  188. The FreeBSD Project
  189. ===================
  190.  
  191.     The FreeBSD Project has informed AUSCERT that the vulnerability
  192.     described in this advisory has been fixed in FreeBSD-current (from
  193.     January 27, 1997), and will be fixed in the upcoming FreeBSD 2.2
  194.     release.  All previous versions of FreeBSD are vulnerable.
  195.  
  196.  
  197. Hewlett-Packard Corporation
  198. ===========================
  199.  
  200.     Hewlett-Packard has informed AUSCERT that the ftpd distributed with
  201.     HP-UX 9.x and 10.x are vulnerable to this problem.  Patches are
  202.     currently in process.
  203.  
  204.  
  205. IBM Corporation
  206. ===============
  207.  
  208.     The version of ftpd shipped with AIX is vulnerable to the conditions
  209.     described in the advisory.  The following APARs will be available
  210.     shortly:
  211.  
  212.        AIX 3.2:  APAR IX65536
  213.        AIX 4.1:  APAR IX65537
  214.        AIX 4.2:  APAR IX65538
  215.  
  216.     To Order
  217.     --------
  218.       APARs may be ordered using Electronic Fix Distribution (via FixDist)
  219.       or from the IBM Support Center.  For more information on FixDist,
  220.       reference URL:
  221.  
  222.          http://service.software.ibm.com/aixsupport/
  223.  
  224.       or send e-mail to aixserv@austin.ibm.com with a subject of "FixDist".
  225.  
  226.  
  227.     IBM and AIX are registered trademarks of International Business Machines
  228.     Corporation.
  229.  
  230.  
  231. The NetBSD Project
  232. ===================
  233.  
  234.     NetBSD (all versions) have the ftpd vulnerability described in this
  235.     advisory.  It has since been fixed in NetBSD-current.  NetBSD have
  236.     also made patches available and they can be retrieved from:
  237.  
  238.         ftp://ftp.netbsd.org/pub/NetBSD/misc/security/19970123-ftpd
  239.  
  240.  
  241. The OpenBSD Project
  242. ===================
  243.  
  244.     OpenBSD 2.0 did have the vulnerability described in this advisory,
  245.     but has since been fixed in OpenBSD 2.0-current (from January 5, 1997).
  246.  
  247.  
  248. Red Hat Software
  249. ================
  250.  
  251.     The signal handling code in wu-ftpd has some security problems which
  252.     allows users to read all files on your system. A new version of wu-ftpd
  253.     is now available for Red Hat 4.0 which Red Hat suggests installing on
  254.     all of your systems.  This new version uses the same fix posted to
  255.     redhat-list@redhat.com by Savochkin Andrey Vladimirovich.  Users of
  256.     Red Hat Linux versions earlier then 4.0 should upgrade to 4.0 and then
  257.     apply all available security packages.
  258.  
  259.     Users whose computers have direct internet connections may apply
  260.     this update by using one of the following commands:
  261.  
  262.     Intel:
  263.     rpm -Uvh ftp://ftp.redhat.com/updates/4.0/i386/wu-ftpd-2.4.2b11-9.i386.rpm
  264.  
  265.     Alpha:
  266.     rpm -Uvh ftp://ftp.redhat.com/updates/4.0/axp/wu-ftpd-2.4.2b11-9.axp.rpm
  267.  
  268.     SPARC:
  269.     rpm -Uvhftp://ftp.redhat.com/updates/4.0/sparc/wu-ftpd-2.4.2b11-9.sparc.rpm
  270.  
  271.     All of these packages have been signed with Red Hat's PGP key.
  272.  
  273.  
  274. wu-ftpd Academ beta version
  275. ===========================
  276.  
  277.     The current version of wu-ftpd (Academ beta version), wu-ftpd
  278.     2.4.2-beta-12, does not contain the vulnerability described in this
  279.     advisory.  Sites using earlier versions should upgrade to the current
  280.     version immediately.  At the time of writing, the current version can
  281.     be retrieved from:
  282.  
  283.         ftp://ftp.academ.com/pub/wu-ftpd/private/
  284.  
  285.  
  286. logdaemon Distribution
  287. ======================
  288.  
  289.     The current version of Wietse Venema's logdaemon (5.6) package contains
  290.     an ftpd utility which addresses the vulnerability described in this
  291.     advisory.  Sites using earlier versions of this package should
  292.     upgrade immediately.  The current version of the logdaemon package
  293.     can be retrieved from:
  294.  
  295.         ftp://ftp.win.tue.nl/pub/security/
  296.         ftp://ftp.auscert.org.au/pub/mirrors/ftp.win.tue.nl/logdaemon/
  297.         ftp://ftp.cert.dfn.de/pub/tools/net/logdaemon/
  298.  
  299.     The MD5 checksum for Version 5.6 of the logdaemon package is:
  300.  
  301.         MD5 (logdaemon-5.6.tar.gz) = 5068f4214024ae56d180548b96e9f368
  302.  
  303. ...........................................................................
  304.  
  305. - ----------------------------------------------------------------------------
  306. AUSCERT thanks David Greenman, Wietse Venema (visiting IBM T.J. Watson
  307. Research) and Stan Barber (Academ Consulting Services) for their
  308. contributions in finding solutions to this vulnerability.  Thanks also to
  309. Dr Leigh Hume (Macquarie University), CERT/CC, and DFNCERT for their
  310. assistance in this matter.  AUSCERT also thanks those vendors that provided
  311. feedback and patch information contained in this advisory.
  312. - ----------------------------------------------------------------------------
  313.  
  314. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  315. Revision History
  316. 18 Apr, 1997    Added vendor information for DIGITAL UNIX.
  317.  
  318.  
  319. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  320.  
  321. - -----------------------------------------------------------------------------
  322. UPDATES
  323. Vendor Information Added by CERT/CC
  324.  
  325.  
  326. Digital Equipment Corporation
  327. =============================
  328.  
  329. Revision History
  330. 18 Apr, 1997    Added vendor information for DIGITAL UNIX.
  331. 21 May, 1997    (to include availibility of V3.2c solution)
  332.  
  333.     DIGITAL UNIX Versions:
  334.             3.2c, 3.2de1, 3.2de2, 3.2f, 3.2g, 4.0, 4.0a, 4.0b
  335.  
  336.     SOLUTION:
  337.  
  338.     This potential security vulnerability has been resolved
  339.     and an official patch kit is available for DIGITAL UNIX
  340.     V3.2c, V3.2g, V4.0, V4.0a, and V4.0b.
  341.  
  342.     This article will be updated accordingly when patch kits
  343.     for DIGITAL UNIX  V3.2de1, V3.2de2, V3.2f become
  344.     available.
  345.  
  346.     The currently available patches may be obtained from your
  347.     normal Digital support channel. Assigned case ID SSRT0448U.
  348.  
  349.  
  350.     Please refer to the applicable README notes information
  351.     prior to the installation of patch kits on your system.
  352.  
  353.     Note: The appropriate patch kit must be reinstalled
  354.           following any upgrade beginning with V3.2c
  355.           up to and including V4.0b.
  356.  
  357.                                  - DIGITAL EQUIPMENT CORPORATION
  358.  
  359.  
  360. Hewlett-Packard Corporation
  361. ===========================
  362.  
  363.  HP has covered this in our security bulletin HPSBUX9702-055,
  364.  19 February 1997.  The Security Bulletin contains pointers to the patches:
  365.  
  366.  
  367.  ----
  368.  SOLUTION: Apply patch:
  369.            PHNE_10008 for all platforms with HP-UX releases 9.X
  370.            PHNE_10009 for all platforms with HP-UX releases 10.0X/10.10
  371.            PHNE_10010 for all platforms with HP-UX releases 10.20
  372.            PHNE_10011 for all platforms with HP-UX releases 10.20 (kftpd)
  373.  
  374.  
  375.  AVAILABILITY: All patches are available now.
  376.  ----
  377.  
  378.  
  379. IBM Corporation
  380. ===============
  381.  
  382.   See the appropriate release below to determine your action.
  383.  
  384.  
  385.   AIX 3.2
  386.   -------
  387.     Apply the following fix to your system:
  388.  
  389.        APAR - IX65536 (PTF - U447700)
  390.  
  391.     To determine if you have this PTF on your system, run the following
  392.     command:
  393.  
  394.        lslpp -lB U447700
  395.  
  396.  
  397.   AIX 4.1
  398.   -------
  399.     Apply the following fix to your system:
  400.  
  401.         APAR - IX65537
  402.  
  403.     To determine if you have this APAR on your system, run the following
  404.     command:
  405.  
  406.        instfix -ik IX65537
  407.  
  408.     Or run the following command:
  409.  
  410.        lslpp -h bos.net.tcp.client
  411.  
  412.     Your version of bos.net.tcp.client should be 4.1.5.3 or later.
  413.  
  414.  
  415.   AIX 4.2
  416.   -------
  417.     Apply the following fix to your system:
  418.  
  419.         APAR - IX65538
  420.  
  421.     To determine if you have this APAR on your system, run the following
  422.     command:
  423.  
  424.        instfix -ik IX65538
  425.  
  426.     Or run the following command:
  427.  
  428.        lslpp -h bos.net.tcp.client
  429.  
  430.     Your version of bos.net.tcp.client should be 4.2.1.0 or later.
  431.  
  432.  
  433.   To Order
  434.   --------
  435.     APARs may be ordered using Electronic Fix Distribution (via FixDist)
  436.     or from the IBM Support Center.  For more information on FixDist,
  437.     reference URL:
  438.  
  439.        http://service.software.ibm.com/aixsupport/
  440.  
  441.     or send e-mail to aixserv@austin.ibm.com with a subject of "FixDist".
  442.  
  443.  
  444.   IBM and AIX are registered trademarks of International Business Machines
  445.   Corporation.
  446.  
  447.  
  448. Sun Microsystems, Inc.
  449. ======================
  450.  
  451. Not vulnerable.
  452.  
  453.  
  454. - -----------------------------------------------------------------------------
  455.  
  456. If you believe that your system has been compromised, contact the CERT
  457. Coordination Center or your representative in the Forum of Incident Response
  458. and Security Teams (see http://www.first.org/team-info/).
  459.  
  460.  
  461. CERT/CC Contact Information
  462. - ----------------------------
  463. Email    cert@cert.org
  464.  
  465. Phone    +1 412-268-7090 (24-hour hotline)
  466.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  467.                 and are on call for emergencies during other hours.
  468.  
  469. Fax      +1 412-268-6989
  470.  
  471. Postal address
  472.          CERT Coordination Center
  473.          Software Engineering Institute
  474.          Carnegie Mellon University
  475.          Pittsburgh PA 15213-3890
  476.          USA
  477.  
  478. Using encryption
  479.    We strongly urge you to encrypt sensitive information sent by email. We can
  480.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  481.    Location of CERT PGP key
  482.          ftp://info.cert.org/pub/CERT_PGP.key
  483.  
  484. Getting security information
  485.    CERT publications and other security information are available from
  486.         http://www.cert.org/
  487.         ftp://info.cert.org/pub/
  488.  
  489.    CERT advisories and bulletins are also posted on the USENET newsgroup
  490.         comp.security.announce
  491.  
  492.    To be added to our mailing list for advisories and bulletins, send
  493.    email to
  494.         cert-advisory-request@cert.org
  495.    In the subject line, type
  496.         SUBSCRIBE  your-email-address
  497.  
  498. - ---------------------------------------------------------------------------
  499. * Registered U.S. Patent and Trademark Office.
  500.  
  501. Copyright 1997 Carnegie Mellon University
  502. This material may be reproduced and distributed without permission provided
  503. it is used for noncommercial purposes and the copyright statement is
  504. included.
  505.  
  506. The CERT Coordination Center is part of the Software Engineering Institute
  507. (SEI). The SEI is sponsored by the U.S. Department of Defense.
  508. - ---------------------------------------------------------------------------
  509.  
  510. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.16.ftpd
  511.            http://www.cert.org
  512.                click on "CERT Advisories"
  513.  
  514.  
  515. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  516. Revision history
  517.  
  518. June 3, 1997   Minor editorial formatting change.
  519.  
  520. June 9, 1997   UPDATES, Vendor Information Added by CERT/CC - added
  521.                information for Sun Microsystems, Inc.
  522.  
  523. -----BEGIN PGP SIGNATURE-----
  524. Version: 2.6.2
  525.  
  526. iQCVAwUBM5xfwnVP+x0t4w7BAQEN/AQAlmEAesQzkyZbnEL7pgFvo5TLLETrrxI5
  527. hbqiOHnM6HWfXXesDSSGmYne0m4uqfGjnrAYCYKUgFxOShYc5dKRiC/q+7mOZRH3
  528. 4Y/v+jYqROCmEh41rnc9Rn503QiJpBKW0EYLJNDJFEh5pfTqIINuBxQxYgNEMKUr
  529. SkVFaTIcVfE=
  530. =DI+w
  531. -----END PGP SIGNATURE-----
  532.  
  533.