home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b23 < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.0 KB  |  123 lines
  1.         _____________________________________________________
  2.  
  3.              The Computer Incident Advisory Capability
  4.  
  5.                          ___  __ __    _     ___
  6.  
  7.                         /       |     / \   /
  8.  
  9.                         \___  __|__  /___\  \___
  10.  
  11.         _____________________________________________________
  12.  
  13.                          Information Bulletin
  14.  
  15.  
  16.  
  17. May 1, 1991, 1200 PDT                                     Number B-23
  18.  
  19.  
  20.  
  21.                    Ultrix V4.0 and V4.1 Vulnerability
  22.  
  23. ________________________________________________________________________
  24.  
  25. PROBLEM:  /usr/bin/chroot is installed with the setuid bit set.
  26.  
  27. PLATFORM: DEC Ultrix V4.0 and V4.1, all architectures.
  28.  
  29. DAMAGE:  Allows authorized users to gain unauthorized privileges.
  30.  
  31. SOLUTIONS: Fixed in Ultrix V4.2. Manually change file mode of
  32.  
  33.         /usr/bin/chroot to 700 for Ultrix V4.0 and V4.1
  34.  
  35. IMPACT OF WORKAROUND:  Non-privileged users no longer have access to
  36.  
  37.         the chroot command.
  38.  
  39. _______________________________________________________________________
  40.  
  41.               Critical /usr/bin/chroot Vulnerability Facts
  42.  
  43.  
  44.  
  45. CIAC has been advised of a vulnerability in DEC's Ultrix V4.0 and V4.1
  46.  
  47. operating systems running on all architectures. DEC is aware of this
  48.  
  49. problem, and has corrected it in Ultrix V4.2. The DEC provided fix for
  50.  
  51. Ultrix V4.0 and V4.1 is:
  52.  
  53.  
  54.  
  55.         (login as root)
  56.  
  57.         # chmod 700 /usr/bin/chroot
  58.  
  59.         # ls -l /usr/bin/chroot
  60.  
  61.         (verify the file protections are "-rwx------")
  62.  
  63.  
  64.  
  65.  
  66.  
  67. For additional information or assistance, please contact CIAC:   
  68.  
  69.  
  70.  
  71.         Hal Brand
  72.  
  73.         (415) 422-6312 or (FTS) 532-6312, or
  74.  
  75.  
  76.  
  77.         Call CIAC at (415) 422-8193 or (FTS) 532-8193 or 
  78.  
  79.         send e-mail to ciac@cheetah.llnl.gov.  
  80.  
  81.     
  82.  
  83.         Send FAX messages to:  (415) 423-0913 or (FTS) 543-0913
  84.  
  85. _____
  86.  
  87. The CERT/CC and Digital Equipment Corporation provided information
  88.  
  89. contained in this bulletin.  This document was prepared as an account
  90.  
  91. of work sponsored by an agency of the United States Government. Neither
  92.  
  93. the United States Government nor the University of California nor any
  94.  
  95. of their employees, makes any warranty, express or implied, or assumes
  96.  
  97. any legal liability or responsibility for the accuracy, completeness,
  98.  
  99. or usefulness of any information, apparatus, product, or process
  100.  
  101. disclosed, or represents that its use would not infringe privately
  102.  
  103. owned rights.  Reference herein to any specific commercial products,
  104.  
  105. process, or service by trade name, trademark, manufacturer, or
  106.  
  107. otherwise, does not necessarily constitute or imply its endorsement,
  108.  
  109. recommendation or favoring by the United States Government or the
  110.  
  111. University of California. The views and opinions of authors expressed
  112.  
  113. herein do not necessarily state or reflect those of the United States
  114.  
  115. Government or the University of California, and shall not be used for
  116.  
  117. advertising or product endorsement purposes.
  118.  
  119.  
  120.  
  121.  
  122.  
  123.