home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.a14 < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.7 KB  |  194 lines
  1. ________________________________________________________________________
  2.  
  3.                 THE COMPUTER INCIDENT ADVISORY CAPABILITY
  4.  
  5.  
  6.  
  7.                                  CIAC
  8.  
  9.  
  10.  
  11.                         INFORMATION BULLETIN
  12.  
  13. ________________________________________________________________________
  14.  
  15.  
  16.  
  17. Additional information on the vulnerability in the UNIX DECODE alias
  18.  
  19.  
  20.  
  21.  
  22.  
  23. January 23, 1990, 1130 PST                                      Number A-14
  24.  
  25.  
  26.  
  27. CIAC information bulletin A-13 described preliminary information about
  28.  
  29. a vulnerability in some versions of the UNIX operating system.  This
  30.  
  31. bulletin gives additional information and a procedure for patching
  32.  
  33. this vulnerability.
  34.  
  35.  
  36.  
  37. The UNIX operating system maintains a global mail aliases data base
  38.  
  39. used by the "sendmail" program to re-route electronic mail.  This
  40.  
  41. database file is contained in /usr/lib/aliases for most UNIX systems
  42.  
  43. (with exceptions noted below).  One standard alias delivered with some
  44.  
  45. versions of UNIX is "decode."  When mail is sent to "decode" at a UNIX
  46.  
  47. host, the message is re-routed to the program "uudecode", which will
  48.  
  49. translate a file that has been encoded with "uuencode".  There is a
  50.  
  51. vulnerability associated with this default alias, and CIAC maintains
  52.  
  53. that there is a strong possibility that this vulnerability has been or
  54.  
  55. is currently being exploited.
  56.  
  57.  
  58.  
  59. To determine if your UNIX system has this vulnerability, CIAC
  60.  
  61. recommends the following procedure:
  62.  
  63.  
  64.  
  65. 1.      Find the global aliases file for your UNIX system.
  66.  
  67. Traditionally this file is kept in /usr/lib/aliases, but for some
  68.  
  69. systems such as SUN OS 4.X and ULTRIX 3.X systems it may be in
  70.  
  71. /etc/aliases.  If you do not have either of these files, it is
  72.  
  73. possible that you are not running the SENDMAIL program, and thus do
  74.  
  75. not have this vulnerability.  The global aliases file will be referred
  76.  
  77. to as <aliases> in the following steps.
  78.  
  79.  
  80.  
  81. 2.      Determine if the decode alias is present in your global
  82.  
  83. aliases file.  To do this execute the command "grep decode <aliases>"
  84.  
  85. If this command results in nothing being displayed, your system does
  86.  
  87. not have a decode alias, and probably does not have this
  88.  
  89. vulnerability.  If you see a line such as 
  90.  
  91. 'decode: "|/usr/bin/uudecode" ' or a similar line, proceed to step 3.
  92.  
  93.  
  94.  
  95. 3.      Become a super-user for your system if you are not already
  96.  
  97. running as root.  Create a backup copy of the aliases file found in
  98.  
  99. step 1, and edit this file.  Insert a "#" at the beginning of the line
  100.  
  101. containing the decode alias.  The line should now read: 
  102.  
  103. '#decode: "|/usr/bin/uudecode" ' Save the file and exit.
  104.  
  105.  
  106.  
  107. 4.      Assure that the ownership and permissions of this aliases file
  108.  
  109. are still set properly, by executing the command "ls -l <aliases>" The
  110.  
  111. line should begin with "-rw--r--r--" If this is not the case, run the
  112.  
  113. command "chmod 644 <aliases>"
  114.  
  115.  
  116.  
  117. 5.      Once the aliases file has been altered, run the command
  118.  
  119. "newaliases" so that the changed aliases file will take effect.  The
  120.  
  121. vulnerability has now been closed.
  122.  
  123.  
  124.  
  125. If you do not wish to disable the DECODE alias, you can redirect
  126.  
  127. DECODE to postmaster.  In step 3 above, change the decode alias to
  128.  
  129. "decode: postmaster" Now mail to decode will be forwarded to
  130.  
  131. postmaster, allowing the designated postmaster to manually uudecode
  132.  
  133. the file if desired.  If neither of these solutions is appropriate for
  134.  
  135. your system, you may call CIAC for additional alternatives.
  136.  
  137.  
  138.  
  139. If you have questions, please contact CIAC.
  140.  
  141.  
  142.  
  143.         Tom Longstaff
  144.  
  145.         (415) 423-4416 or (FTS) 543-4416
  146.  
  147.         FAX: (FTS) 543-0913 or (415) 294-5054  
  148.  
  149.  
  150.  
  151. CIAC's business hours phone number is (415) 422-8193 or (FTS) 532-8193.  
  152.  
  153.  
  154.  
  155. CIAC's 24-hour emergency hot-line number is (415) 971-9384
  156.  
  157.  
  158.  
  159. or send e-mail to:  ciac@tiger.llnl.gov
  160.  
  161.  
  162.  
  163. Neither the United States Government nor the University of California
  164.  
  165. nor any of their employees, makes any warranty, express or implied, or
  166.  
  167. assumes any legal liability or responsibility for the accuracy,
  168.  
  169. completeness, or usefulness of any information, product, or process
  170.  
  171. disclosed, or represents that its use would not infringe privately
  172.  
  173. owned rights.  Reference herein to any specific commercial products,
  174.  
  175. process, or service by trade name, trademark manufacturer, or
  176.  
  177. otherwise, does not necessarily constitute or imply its endorsement,
  178.  
  179. recommendation, or favoring by the United States Government or the
  180.  
  181. University of California.  The views and opinions of authors expressed
  182.  
  183. herein do not necessarily state or reflect those of the United States
  184.  
  185. Government nor the University of California, and shall not be used for
  186.  
  187. advertising or product endorsement purposes.
  188.  
  189.  
  190.  
  191.  
  192.  
  193. 
  194.