home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / sco.termvision.win95.txt < prev    next >
Encoding:
Internet Message Format  |  1999-04-11  |  2.7 KB
  1. Date: Wed, 31 Mar 1999 16:50:13 +0100
  2. From: JJ Gray <nexus@PATROL.I-WAY.CO.UK>
  3. To: BUGTRAQ@netspace.org
  4. Subject: Potential vulnerability in SCO TermVision Windows 95 client
  5.  
  6.  
  7. Hi folks,
  8.         I recently downloaded a trial version of the SCO TermVision 
  9. terminal emulation package for SCO Openserver 5 and Windows 95 (
  10. http://www.sco.com/vision/products/termvision/ ).   This comes
  11. in two parts, the server based binaries and the Windows 95 client,
  12. TermVision 2.1.   In addition to the terminal emulation you get 
  13. 'UNIX Neighborhood' which once supplied with a hostname, username &
  14. password gives an explorer/X-Windows style interface to the SCO server.
  15. In the default configuration the hostnames, usernames & passwords are 
  16. saved in a file : C:\Windows\Profiles\%username%\Application
  17. Data\SCO\Vision\Auth\%username%.vca
  18. ( PC is Windows 95, NT4 server, user profiles ).  The data is encrypted
  19. but, not being a cryptanalysist, it took me a good 15 minutes to 
  20. discover the encryption is nothing more than a fixed string XOR :(
  21. I informed SCO of this on 30th March and received a reply the next day :)
  22. --
  23. >From Matthew Schofield, Support <mattsc@sco.com>
  24.  
  25. JJ,
  26.  
  27. Thanks for highlighting this issue in the Vision Comms.
  28.  
  29. By your own definition it is insecure, in that the contents of the .vca
  30. files can be obtained with some effort. In terms of actually using 
  31. someone's .vca file through the comms layer in order to access the UNIX 
  32. resources through a Vision product, the files can only read by the
  33. comms layer if the user has successfully logged into Windows as that user.
  34. --
  35. Extracted from my reply -
  36.  
  37. This is of no consequence.   The point is that I can extract the UNIX
  38. username & password from another user that has used the same PC.
  39. If that user happens to use root access then I have the root password -
  40. thus a non privileged user with windows access can gain root privs on
  41. the UNIX box, whether through UNIX Neighborhood, terminal emulation,
  42.  a terminal itself, telnet etc.   If I were a windows user with no user
  43. account on the UNIX box......... :)
  44. --
  45. When adding a host, the security options can be set to 'Prompt' where the
  46. password is not saved.   Yes this is only a potential security hole - 
  47. another on the 'Configuration' issue, but it is not obvious that this 
  48. vulnerability exists.   The default is insecure and there is no 'obvious' 
  49. information in the documentation that it is so - hence my post.
  50. Matthew finished by saying
  51. --
  52. As you have already identified, you should change the password mechanism
  53. for your host to prompt. In a future release we intend to either change 
  54. the operation of the password mechanism or add an appropriate warning.
  55. --
  56. Can't really say fairer than that I suppose...
  57.  
  58. Regards,
  59.         JJ Gray
  60.  
  61.  
  62. Sed quis custodiet ipsos custodes ?
  63.  
  64.