home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b19 < prev    next >
Encoding:
Text File  |  2003-06-11  |  4.4 KB  |  169 lines
  1.  
  2.  
  3.         _____________________________________________________
  4.  
  5.              The Computer Incident Advisory Capability
  6.  
  7.                          ___  __ __    _     ___
  8.  
  9.                         /       |     / \   /
  10.  
  11.                         \___  __|__  /___\  \___
  12.  
  13.         _____________________________________________________
  14.  
  15.                          Information Bulletin
  16.  
  17.  
  18.  
  19.          Vulnerability in UNIX System V on 386/486 Platforms
  20.  
  21.                                    
  22.  
  23.      Critical UNIX System V on 386/486  Vulnerability Information
  24.  
  25. --------------------------------------------------------------------------
  26.  
  27. PROBLEM:   UNIX System V security problem on 386/486 platforms (UAREA bug).
  28.  
  29. PLATFORM: UNIX System V for the Intel 80386/80486 based computers.
  30.  
  31. DAMAGE:   Allows privileged access to files by non-privileged users.
  32.  
  33. SOLUTIONS: Patch/update available from various vendors.
  34.  
  35. IMPACT OF PATCH:  Vulnerability eliminated.  No other side-effects reported.
  36.  
  37. --------------------------------------------------------------------------
  38.  
  39. March 21, 1991, 1200 PST                                Number B-19
  40.  
  41.  
  42.  
  43. CIAC has learned of a vulnerability that allows privileged access to
  44.  
  45. files on some versions of UNIX System V running on an Intel
  46.  
  47. 80386/80486 based computer. This problem known as the UAREA bug, has
  48.  
  49. been corrected by AT&T.  Most vendors of UNIX System V based on the
  50.  
  51. AT&T software have recently released patches specifically designed for
  52.  
  53. their products.  This bulletin provides a partial list of vendors that
  54.  
  55. are providing patches for this problem, as well as vendors whose
  56.  
  57. product never had the vulnerability in a specified release.
  58.  
  59.  
  60.  
  61. The following vulnerability matrix table lists each of vendor/version
  62.  
  63. combination for which CIAC has received information.  For each vendor,
  64.  
  65. the listed versions were tested for this vulnerability, and a patch
  66.  
  67. was developed for those versions found to be vulnerable.  If the
  68.  
  69. vendor/version combination does not exhibit the vulnerability,
  70.  
  71. "No" appears in the third column.
  72.  
  73.  
  74.  
  75.  Vendor                    Version       Exhibits vulnerability
  76.  
  77.  ------------------------  ---------     ---------------------
  78.  
  79.  Dell                      SVR3.2/1.0.6  Yes - patch available
  80.  
  81.  Dell                      SVR3.2/1.1    No
  82.  
  83.  Dell                      SVR4.0/2.0    No
  84.  
  85.  Interactive               2.0.2         Yes - patch available
  86.  
  87.  Interactive               2.2           Yes - patch available
  88.  
  89.  Interactive               2.2.1         Yes - patch available
  90.  
  91.  Everex (ESIX)             Rev. D        Yes - patch available
  92.  
  93.  AT&T                      SVR3.2.0      Yes - patch available
  94.  
  95.  AT&T                      SVR3.2.1      No
  96.  
  97.  SCO                       all versions  No
  98.  
  99.  Microport                 2.2           No
  100.  
  101.  
  102.  
  103. Most vendors are aware of this bug, and have taken steps to correct
  104.  
  105. the problem.  If your vendor/version of UNIX is not listed, or is
  106.  
  107. listed as one of those that exhibits the vulnerability, you should
  108.  
  109. contact your UNIX System V vendor for the patch.
  110.  
  111.  
  112.  
  113.  
  114.  
  115.  For additional information or assistance, please contact CIAC:   
  116.  
  117.  
  118.  
  119.         Hal Brand
  120.  
  121.         (415) 422-6312 or (FTS) 532-6312
  122.  
  123.  
  124.  
  125.         During working hours call CIAC at (415) 422-8193 or (FTS)
  126.  
  127. 532-8193 or send e-mail to ciac@cheetah.llnl.gov.
  128.  
  129.     
  130.  
  131.         Send FAX messages to:  (415) 423-0913 or (FTS) 543-0913
  132.  
  133.  
  134.  
  135. This document was prepared as an account of work sponsored by an
  136.  
  137. agency of the United States Government. Neither the United States
  138.  
  139. Government nor the University of California nor any of their
  140.  
  141. employees, makes any warranty, express or implied, or assumes any
  142.  
  143. legal liability or responsibility for the accuracy, completeness, or
  144.  
  145. usefulness of any information, apparatus, product, or process
  146.  
  147. disclosed, or represents that its use would not infringe privately
  148.  
  149. owned rights. Reference herein to any specific commercial products,
  150.  
  151. process, or service by trade name, trademark, manufacturer, or
  152.  
  153. otherwise, does not necessarily constitute or imply its endorsement,
  154.  
  155. recommendation or favoring by the United States Government or the
  156.  
  157. University of California. The views and opinions of authors expressed
  158.  
  159. herein do not necessarily state or reflect those of the United States
  160.  
  161. Government or the University of California, and shall not be used for
  162.  
  163. advertising or product endorsement purposes.
  164.  
  165.  
  166.  
  167.  
  168.  
  169.