home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b18 < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.3 KB  |  159 lines
  1.         _____________________________________________________
  2.  
  3.              The Computer Incident Advisory Capability
  4.  
  5.                          ___  __ __    _     ___
  6.  
  7.                         /       |     / \   /
  8.  
  9.                         \___  __|__  /___\  \___
  10.  
  11.         _____________________________________________________
  12.  
  13.                          Information Bulletin
  14.  
  15.  
  16.  
  17. March 11, 1991, 1330 PST                                     Number B-18
  18.  
  19.  
  20.  
  21.                MVS Security Problem with TSO Reconnect Facility 
  22.  
  23. ________________________________________________________________________
  24.  
  25. PROBLEM:  MVS security problem with TSO Reconnect Facility 
  26.  
  27. PLATFORM: IBM MVS systems running TSO
  28.  
  29. DAMAGE:  Allows unintended reconnect to TSO address space from a
  30.  
  31. different term inal without appropriate terminal check or address space
  32.  
  33. modification 
  34.  
  35. SOLUTIONS: IBM is working on a permanent solution, but an interim
  36.  
  37. workaround is to set reconnect time (RECONLIM) to 0 in SYS1.PARMLIB
  38.  
  39. (TSOKEYxx) 
  40.  
  41. IMPACT OF WORKAROUND:  Disallows the use of the TSO Reconnect Facility
  42.  
  43. for all users
  44.  
  45. _______________________________________________________________________
  46.  
  47.                  Critical TSO Reconnect Facility Information
  48.  
  49.  
  50.  
  51. CIAC has learned of a potential problem that exists in some IBM MVS
  52.  
  53. systems.  This potential problem exists in MVS systems that support
  54.  
  55. TSO (Time Sharing Option) and a security package (e.g., RACF), and
  56.  
  57. also use special groups to grant access to information only at
  58.  
  59. designated locations (terminals).  If uncorrected, this problem may
  60.  
  61. allow a user to reconnect to a previous session without resetting the
  62.  
  63. special group information.  This may allow someone to bypass a
  64.  
  65. security feature that is designed to limit the access to sensitive
  66.  
  67. files to a particular set of terminals.  Note that user IDs and
  68.  
  69. passwords are still required to reconnect a session using the TSO
  70.  
  71. Reconnect Facility.  The problem, therefore, cannot result in
  72.  
  73. unauthorized access to systems.
  74.  
  75.  
  76.  
  77. IBM is aware of this problem, and is working toward a permanent
  78.  
  79. solution.  An interim workaround has been devised.  When the RECONLIM
  80.  
  81. parameter in the SYS1.PARMLIB(TSOKEYxx)* file is set to zero, any
  82.  
  83. given TSO session will immediately time-out and not allow the
  84.  
  85. reconnect facility to be activated.  This will prevent a user from
  86.  
  87. disconnecting and using the Reconnect Facility to resume the session
  88.  
  89. at a later time.  Only the Reconnect Facility address space will be
  90.  
  91. modified.  No other address spaces will be affected by this change.
  92.  
  93.  
  94.  
  95. For additional information or assistance, please contact CIAC:   
  96.  
  97.  
  98.  
  99.         Tom Longstaff
  100.  
  101.         (415) 423-4416 or (FTS) 543-4416, or
  102.  
  103.  
  104.  
  105.         Call CIAC at (415) 422-8193 or (FTS) 532-8193 or 
  106.  
  107.         send e-mail to ciac@cheetah.llnl.gov.  
  108.  
  109.     
  110.  
  111.         Send FAX messages to:  (415) 423-0913 or (FTS) 543-0913
  112.  
  113. _____
  114.  
  115. * - The TSOKEY is delivered from IBM with the version TSOKEY00, but
  116.  
  117. many sites have modified this to be some other number, for example
  118.  
  119. TSOKEY01.  The RECONLIM parameter should be modified in the appropriate
  120.  
  121. SYS1.PARMLIB file used during the system IPL (Initial Program Load).
  122.  
  123.  
  124.  
  125. Tim Harrington provided information contained in this bulletin.  This
  126.  
  127. document was prepared as an account of work sponsored by an agency of
  128.  
  129. the United States Government. Neither the United States Government nor
  130.  
  131. the University of California nor any of their employees, makes any
  132.  
  133. warranty, express or implied, or assumes any legal liability or
  134.  
  135. responsibility for the accuracy, completeness, or usefulness of any
  136.  
  137. information, apparatus, product, or process disclosed, or represents
  138.  
  139. that its use would not infringe privately owned rights. Reference
  140.  
  141. herein to any specific commercial products, process, or service by
  142.  
  143. trade name, trademark, manufacturer, or otherwise, does not necessarily
  144.  
  145. constitute or imply its endorsement, recommendation or favoring by the
  146.  
  147. United States Government or the University of California. The views and
  148.  
  149. opinions of authors expressed herein do not necessarily state or
  150.  
  151. reflect those of the United States Government or the University of
  152.  
  153. California, and shall not be used for advertising or product
  154.  
  155. endorsement purposes.
  156.  
  157.  
  158.  
  159.