home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b14 < prev    next >
Encoding:
Text File  |  2003-06-11  |  5.4 KB  |  223 lines
  1.         _____________________________________________________
  2.  
  3.              The Computer Incident Advisory Capability
  4.  
  5.                          ___  __ __    _     ___
  6.  
  7.                         /       |     / \   /
  8.  
  9.                         \___  __|__  /___\  \___
  10.  
  11.         _____________________________________________________
  12.  
  13.                          Information Bulletin       
  14.  
  15.                                    
  16.  
  17. February 22, 1991, 1300 PST                                     Number B-14
  18.  
  19.  
  20.  
  21. Additional Information about UNIX Security Problem with /bin/mail in SunOS
  22.  
  23.  
  24.  
  25. Sun Microsystems has released additional information about the security
  26.  
  27. problem with /bin/mail described in CIAC Bulletin B-13. There are
  28.  
  29. significant changes to the patch installation procedure. The new patch
  30.  
  31. installation procedure is:
  32.  
  33. ________________________________________________________________________
  34.  
  35.  
  36.  
  37. Patch ID: 100224-01
  38.  
  39. BugIDs fixed by this patch: 1045636 and 1047340
  40.  
  41. Availability: Anonymous FTP from ftp.uu.net:/sun-dist/100224-01.tar.Z
  42.  
  43.               Checksum of the compressed tarfile 
  44.  
  45.               100224-01.tar.Z = 64102   109 
  46.  
  47. Patches Obsoleted: 100161-01 
  48.  
  49. Obsoleted by: SysV Release 4
  50.  
  51.  
  52.  
  53. Patch installation instructions are as follows:
  54.  
  55.  
  56.  
  57.               (Login as root - you must have root access to apply this patch!)
  58.  
  59.               (Create a temporary directory and "cd" to it)
  60.  
  61.               (Use anonymous FTP to obtain the file sun-dist/100224-01.tar.Z
  62.  
  63.                from ftp.uu.net)
  64.  
  65.               # uncompress 100224-01.tar
  66.  
  67.               # tar xvf 100224-01.tar
  68.  
  69.               # mv /bin/mail to /bin/mail.old
  70.  
  71.   NEW -->     # chmod 400 /bin/mail.old
  72.  
  73.               # cp $arch/$os/mail to /bin/mail
  74.  
  75.                  (where $arch is either sun3 sun4 sun4c or sun3x)
  76.  
  77.                  (and where $os is either 4.0.3 4.1 or 4.1.1)
  78.  
  79.               (change the permissions for the newly installed mail binary)
  80.  
  81.   UPDATED --> # chmod 4711 /bin/mail
  82.  
  83.                  (Sun actually recommends setting the permissions to 4111,
  84.  
  85.                   but CIAC considers 4711 a wiser choice.)
  86.  
  87.   NEW -->     # ls -l /bin/mail
  88.  
  89.               (Verify that /bin/mail is owned by "root" and the file
  90.  
  91.                permissions are correct.)
  92.  
  93.               (You will probably wish to delete the 100224-01.tar file and 
  94.  
  95.                the files created by "de-tar-ing" 100224-01.tar at this time!)
  96.  
  97. ________________________________________________________________________
  98.  
  99.  
  100.  
  101.  
  102.  
  103. CIAC recommends that you delete /bin/mail.old altogether after
  104.  
  105. verifying that the new version of /bin/mail just installed is
  106.  
  107. functioning correctly.  If you take this course of action, you should
  108.  
  109. first make a backup copy of /bin/mail.old and store it off-line.
  110.  
  111.  
  112.  
  113. For your information, we have included the Sun addendum below:
  114.  
  115. ________________________________________________________________________
  116.  
  117.  
  118.  
  119. This is an addendum to the Security bulletin (#00105) that went out
  120.  
  121. recently.  Two points were brought to Sun's attention by the security
  122.  
  123. community.
  124.  
  125.  
  126.  
  127. First point:  It is not advisable to leave the old version of /bin/mail
  128.  
  129. around as this version can be exploited. After first verifying that the
  130.  
  131. new version was not mangled in the transfer, either remove the old
  132.  
  133. version (/bin/mail.old) or change the permissions to 100.  example:
  134.  
  135. chmod 100 /bin/mail.old
  136.  
  137.  
  138.  
  139. Second point:  The permissions on the new version of /bin/mail do not
  140.  
  141. have to be set to 4755 as they come on the installation tape. setting
  142.  
  143. the mode to 4111 allows /bin/mail to work, but keeps people from
  144.  
  145. reading the binary (with strings)
  146.  
  147.  
  148.  
  149. Special Thanks to Gordon O'Connor and Hal Brand for pointing out these
  150.  
  151. flaws in the posting.
  152.  
  153.  
  154.  
  155. Brad Powell
  156.  
  157. Sun Microsystems
  158.  
  159. ________________________________________________________________________
  160.  
  161.  
  162.  
  163. For additional information or assistance contact:
  164.  
  165.  
  166.  
  167.         Hal R. Brand
  168.  
  169.         (415) 422-6312 or (FTS) 532-6312
  170.  
  171.  
  172.  
  173.         During working hours, call CIAC at (415) 422-8193 or (FTS)
  174.  
  175.         532-8193.  For non-working hour emergencies , call (415)
  176.  
  177.         422-7222 or (FTS) 532-7222 and ask for CIAC (this is a new
  178.  
  179.         emergency number).
  180.  
  181.  
  182.  
  183.         send e-mail to ciac@cheetah.llnl.gov (this is a new Internet 
  184.  
  185.         address)
  186.  
  187.  
  188.  
  189.         send FAX messages to:  (415) 423-0913 or (FTS) 543-0913
  190.  
  191.  
  192.  
  193. Joe Ilacqua and Sun Microsystems provided information contained in this
  194.  
  195. bulletin.  Neither the United States Government nor the University of
  196.  
  197. California nor any of their employees, makes any warranty,  expressed
  198.  
  199. or implied, or assumes any legal liability or responsibility for the
  200.  
  201. accuracy, completeness, or usefulness of any information, product, or
  202.  
  203. process disclosed, or represents that its use would not infringe
  204.  
  205. privately owned rights.  Reference herein to any specific commercial
  206.  
  207. products, process, or service by trade name, trademark manufacturer, or
  208.  
  209. otherwise, does not necessarily constitute or imply its endorsement,
  210.  
  211. recommendation, or favoring by the United States Government or the
  212.  
  213. University of California.  The views and opinions of authors expressed
  214.  
  215. herein do not necessarily state or reflect those of the United States
  216.  
  217. Government nor the University of California, and shall not be used for
  218.  
  219. advertising or product endorsement purposes.
  220.  
  221.  
  222.  
  223.