home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0150.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  11.4 KB  |  327 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.18
  6. Original issue date: June 12, 1997
  7. Last revised: June 25, 1997
  8.               Section IIIA and Appendix A - Added vendor information
  9.               for Berkeley Software Design, Inc. (BSDI).
  10.  
  11.               A complete revision history is at the end of this file.
  12.  
  13. Topic: Vulnerability in the at(1) program
  14. - -----------------------------------------------------------------------------
  15. The CERT Coordination Center has received reports of a buffer overflow
  16. condition in some versions of the at(1) program. By carefully specifying the
  17. data that overflows this buffer, any user can execute arbitrary commands as
  18. root.
  19.  
  20. The CERT/CC team recommends installing a vendor patch if one is available
  21. (see Section III.A). Until you can do so, we recommend disabling at(1) (see
  22. Section III.B).
  23.  
  24. We will update this advisory as we receive additional information. Please
  25. check advisory files regularly for updates that relate to your site.
  26.  
  27. - -----------------------------------------------------------------------------
  28.  
  29. I.   Description
  30.  
  31.      The at(1) program can be used by local users to schedule commands to be
  32.      executed at a later time. When those commands are run, they are run as
  33.      the user who originally ran at(1). That user will be referred to as the
  34.      scheduling user.
  35.  
  36.      As a precaution, the scheduling user's list of commands is stored in a
  37.      file in a directory that is not writable by other users. The file's
  38.      ownership is changed to that of the scheduling user, and that
  39.      information is used to define the identity of the process that runs the
  40.      commands when the appointed time arrives. These measures are intended
  41.      to prevent other users from changing the scheduling user's list of
  42.      commands or creating new lists to be executed as another user. To
  43.      achieve this additional level of security, the at(1) program runs as
  44.      set-user-id root.
  45.  
  46.      Some versions of at(1) contain a programming defect that can result in a
  47.      buffer local to at(1) being overflowed. Through the careful specification
  48.      of the data that overflows this buffer, arbitrary commands can be executed
  49.      with the identity of at(1) process, root in this case.
  50.  
  51. II.  Impact
  52.  
  53.      Any user with an account on a system that contains a defective version
  54.      of at(1) can execute programs as root.
  55.  
  56. III. Solution
  57.  
  58.      A.  Install a patch from your vendor
  59.  
  60.          Below is a list of vendors who have provided information about
  61.          at. Details are in Appendix A of this advisory; we will update
  62.          the appendix as we receive more information. If your vendor's
  63.          name is not on this list, the CERT/CC did not hear from that
  64.          vendor. Please contact your vendor directly.
  65.  
  66.          Berkeley Software Design, Inc. (BSDI)
  67.          Cray Research - A Silicon Graphics Company
  68.          Digital Equipment Corporation
  69.          Hewlett-Packard Company
  70.          IBM Corporation
  71.          Santa Cruz Operation, Inc. (SCO)
  72.          Silicon Graphics, Inc.
  73.          Sun Microsystems, Inc.
  74.  
  75.  
  76.      B.  Until you are able to install the appropriate patch, we recommend
  77.          the following workaround:
  78.  
  79.          Turn off at(1) by setting its mode to 0. Do the following as
  80.          root:
  81.  
  82.                 # chmod 0 /usr/bin/at
  83.  
  84.          Note that the location of at(1) varies from system to system.
  85.          Consult your system's documentation for the correct location.
  86.  
  87.          After you turn off the at(1) command, users will not be able to use
  88.          it.  As an alternative to at(1), consider using the crontab(1)
  89.          command if your system provides it.
  90.  
  91.  
  92. ...........................................................................
  93.  
  94. Appendix A - Vendor Information
  95.  
  96. Below is a list of the vendors who have provided information for this
  97. advisory. We will update this appendix as we receive additional information.
  98. If you do not see your vendor's name, the CERT/CC did not hear from that
  99. vendor. Please contact the vendor directly.
  100.  
  101. Berkeley Software Design, Inc. (BSDI)
  102. =====================================
  103.   No versions of BSD/OS are succeptible to this problem.
  104.  
  105. Cray Research - A Silicon Graphics Company
  106. ==========================================
  107.   Neither Unicos nor Unicos/mk is believed to be vulnerable.
  108.  
  109. Digital Equipment Corporation
  110. =============================
  111.     Copyright (c) Digital Equipment Corporation 1997. All rights
  112.     reserved.
  113.  
  114.     Information about this reported problem, and subsequent attempts to
  115.     reproduce the problem have been unsuccessful for Digital's ULTRIX or
  116.     Digital UNIX Operating Systems Software. Should further information or
  117.     testing indicate this problem can be reproduced on Digital's
  118.     products, a solution will be provided accordingly. At that time Digital
  119.     will provide notice of the completion/availability of the patches
  120.     through AES services (DIA, DSNlink FLASH) and be available from your
  121.     normal Digital Support channel.
  122.  
  123.                         DIGITAL EQUIPMENT CORPORATION    6/09/97
  124.                         -----------------------------  ----------
  125. Hewlett-Packard Company
  126. =======================
  127.   Hewlett Packard is currently investigating the problem. We will update this
  128.   advisory through the CERT/CC when the investigation is complete.
  129.  
  130. IBM Corporation
  131. ===============
  132.   See the appropriate release below to determine your action.
  133.  
  134.  
  135.   AIX 3.2
  136.   -------
  137.     Apply the following fixes to your system:
  138.  
  139.        PTF - U443452 U443486 U444191 U444206 U444213 U444243
  140.        APAR - IX60796
  141.  
  142.     To determine if you have these PTFs on your system, run the following
  143.     commands:
  144.  
  145.        lslpp -lB U443452 U443486 U444191 U444206 U444213 U444243
  146.  
  147.  
  148.   AIX 4.1
  149.   -------
  150.     Apply the following fixes to your system:
  151.  
  152.         APAR - IX60894
  153.         APAR - IX60890
  154.  
  155.     To determine if you have this APAR on your system, run the following
  156.     commands:
  157.  
  158.        instfix -ik IX60894
  159.        instfix -ik IX60890
  160.  
  161.     Or run the following commands:
  162.  
  163.        lslpp -h bos.rte.cron
  164.        lslpp -h bos.rte.libc
  165.  
  166.     Your version of bos.rte.cron should be 4.1.4.8 or later.
  167.     Your version of bos.rte.libc should be 4.1.4.18 or later.
  168.  
  169.  
  170.   AIX 4.2
  171.   -------
  172.     Apply the following fixes to your system:
  173.  
  174.         APAR - IX60892
  175.         APAR - IX61125
  176.  
  177.     To determine if you have this APAR on your system, run the following
  178.     commands:
  179.  
  180.        instfix -ik IX60892
  181.        instfix -ik IX61125
  182.  
  183.     Or run the following commands:
  184.  
  185.        lslpp -h bos.rte.cron
  186.        lslpp -h bos.rte.libc
  187.  
  188.     Your version of bos.rte.cron should be 4.2.0.1 or later.
  189.     Your version of bos.rte.libc should be 4.2.0.5 or later.
  190.  
  191.  
  192.   To Order
  193.   --------
  194.     APARs may be ordered using Electronic Fix Distribution (via FixDist)
  195.     or from the IBM Support Center. For more information on FixDist,
  196.     reference URL:
  197.  
  198.        http://service.software.ibm.com/aixsupport/
  199.  
  200.     or send e-mail to aixserv@austin.ibm.com with a subject of "FixDist".
  201.  
  202.  
  203.   IBM and AIX are registered trademarks of International Business Machines
  204.   Corporation.
  205.  
  206.  
  207. Santa Cruz Operation, Inc. (SCO)
  208. ================================
  209.   All SCO operating systems are vulnerable. SCO has made an interim fix
  210.   available for anonymous ftp:
  211.  
  212.         ftp://ftp.sco.com/SSE/sse007.ltr.Z - cover letter
  213.         ftp://ftp.sco.com/SSE/sse007.tar.Z - replacement binaries
  214.  
  215.   The fix includes binaries for the following SCO operating systems:
  216.  
  217.         - SCO CMW+ 3.0
  218.         - SCO Open Desktop/Open Server 3.0, SCO UNIX 3.2v4
  219.         - SCO OpenServer 5.0
  220.         - SCO UnixWare 2.1
  221.  
  222.  
  223. Silicon Graphics, Inc.
  224. ======================
  225.   At this time, Silicon Graphics does not have any public information
  226.   for the at(1) issue.  Silicon Graphics has communicated with CERT
  227.   and other external security parties and is actively investigating
  228.   this issue.   When more Silicon Graphics information (including any
  229.   possible patches) is available for release, that information will
  230.   be released via the SGI security mailing list, wiretap.
  231.  
  232.   For subscribing to the wiretap mailing list and other SGI security
  233.   related information, please refer to the Silicon Graphics Security
  234.   Headquarters website located at:
  235.  
  236.           http://www.sgi.com/Support/Secur/security.html
  237.  
  238.  
  239. Sun Microsystems, Inc.
  240. ======================
  241.   Sun will be producing patches.
  242.  
  243.  
  244. - -----------------------------------------------------------------------------
  245. Technical information for this advisory was drawn in part from a posting by
  246. Don Farmer to the bugtraq mailing list. Thanks to Wolfgang Ley of DFN-CERT for
  247. his help in developing this advisory.
  248. - -----------------------------------------------------------------------------
  249.  
  250. If you believe that your system has been compromised, contact the CERT
  251. Coordination Center or your representative in the Forum of Incident Response
  252. and Security Teams (see http://www.first.org/team-info).
  253.  
  254.  
  255. CERT/CC Contact Information
  256. - ----------------------------
  257. Email    cert@cert.org
  258.  
  259. Phone    +1 412-268-7090 (24-hour hotline)
  260.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  261.                 and are on call for emergencies during other hours.
  262.  
  263. Fax      +1 412-268-6989
  264.  
  265. Postal address
  266.          CERT Coordination Center
  267.          Software Engineering Institute
  268.          Carnegie Mellon University
  269.          Pittsburgh PA 15213-3890
  270.          USA
  271.  
  272. Using encryption
  273.    We strongly urge you to encrypt sensitive information sent by email. We can
  274.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  275.    Location of CERT PGP key
  276.          ftp://info.cert.org/pub/CERT_PGP.key
  277.  
  278. Getting security information
  279.    CERT publications and other security information are available from
  280.         http://www.cert.org/
  281.         ftp://info.cert.org/pub/
  282.  
  283.    CERT advisories and bulletins are also posted on the USENET newsgroup
  284.         comp.security.announce
  285.  
  286.    To be added to our mailing list for advisories and bulletins, send
  287.    email to
  288.         cert-advisory-request@cert.org
  289.    In the subject line, type
  290.         SUBSCRIBE  your-email-address
  291.  
  292. - ---------------------------------------------------------------------------
  293. Copyright 1997 Carnegie Mellon University
  294. This material may be reproduced and distributed without permission provided
  295. it is used for non-commercial purposes and the copyright statement is
  296. included.
  297.  
  298. * Registered U.S. Patent and Trademark Office.
  299. - ---------------------------------------------------------------------------
  300.  
  301. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.18.at
  302.            http://www.cert.org
  303.                click on "CERT Advisories"
  304.  
  305.  
  306. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  307. Revision history
  308.  
  309. June 25, 1997  Section IIIA and Appendix A - Added vendor information
  310.                for Berkeley Software Design, Inc. (BSDI).
  311.  
  312.  
  313. June 12, 1997  Section IIIA and Appendix A - Added vendor information
  314.                for Digital Equipment Corporation.
  315.  
  316.  
  317. -----BEGIN PGP SIGNATURE-----
  318. Version: 2.6.2
  319.  
  320. iQCVAwUBM7EyDHVP+x0t4w7BAQEJ6QQAy9j1UGEMFM1017+atqbXNzZ5Y8Buskx5
  321. WvNBH0DeakCgnf8qgnXX/IqcJLyMeVAD/C0A200cPJBG2ANgg8T9StFYODIm5Nds
  322. VqN9+iRdf1LkxvsQPUajgAM1L4C9T/ELy4R9D1IT8FM2IXEKspUmwSlbXbYtlLQV
  323. T7wz63+LIiE=
  324. =V2Sl
  325. -----END PGP SIGNATURE-----
  326.  
  327.