home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / super_bof.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  3.6 KB
  1. Date: Mon, 15 Feb 1999 10:59:40 -0500 (EST)
  2. From: X-Force <xforce@iss.net>
  3. To: alert@iss.net
  4. Cc: X-Force <xforce@iss.net>
  5. Subject: ISSalert: ISS Security Advisory: Buffer Overflow in "Super" package in Debian Linux
  6.  
  7. TO UNSUBSCRIBE: email "unsubscribe alert" in the body of your message to
  8. majordomo@iss.net  Contact alert-owner@iss.net for help with any problems!
  9. ---------------------------------------------------------------------------
  10.  
  11.  
  12. -----BEGIN PGP SIGNED MESSAGE-----
  13.  
  14. ISS Security Advisory
  15. February 15, 1999
  16.  
  17. Buffer Overflow in "Super" package in Debian Linux
  18.  
  19.  
  20. Synopsis:
  21.  
  22. Internet Security Systems (ISS) X-Force has discovered a vulnerability in
  23. the system administration utility, "Super".  Super is used by 
  24. administrators to allow certain users to execute commands with root
  25. privileges.  The vulnerability is distributed with Debian Linux.  It may
  26. allow local attackers to compromise root access.  Super is a GNU
  27. copylefted package that is distributed with recent Debian Linux
  28. distributions, but it can be installed and configured for many Unix
  29. variants.  
  30.  
  31.  
  32. Affected versions:
  33.  
  34. ISS X-Force has determined that version 3.9.6 through version 3.11.6 are
  35. vulnerable.  All versions of Super distributed with Debian Linux are
  36. vulnerable.  Execute the following command to determine version
  37. information:
  38.  
  39. # /usr/bin/super -V
  40.  
  41.  
  42. Fix Information:
  43.  
  44. Super 3.11.7 is available at:
  45. ftp.ucolick.org:/pub/users/will/super-3.11.7.tar.gz
  46.  
  47. The new version of Super will be available soon on the mirror:
  48. ftp.onshore.com:/pub/mirror/software/super
  49.  
  50. Please refer to these locations for fixes which are included in
  51. Super version 3.11.7.
  52.  
  53. Description:
  54.  
  55. Super is a utility that allows authorized users to execute commands with
  56. root privileges.  It is intended to be an alternate to setuid scripts,
  57. which are inherently dangerous.  A buffer overflow exists in Super that
  58. may allow attackers to take advantage of its setuid configuration to gain
  59. root access.
  60.  
  61.  
  62. Recommended Action:
  63.  
  64. Version 3.11.7 should be installed immediately. Administrators should 
  65. take care to disable setuid root utilities that are not used by regular 
  66. users.  To disable Super permanently, execute the following command 
  67. as root to disable the setuid bit:
  68.  
  69. # chmod 755 /usr/bin/super
  70.  
  71. __________
  72.  
  73. Copyright (c) 1999 by Internet Security Systems, Inc.
  74.  
  75. Permission is hereby granted for the redistribution of this alert
  76. electronically.  It is not to be edited in any way without express
  77. consent of X-Force.  If you wish to reprint the whole or any part of this
  78. alert in any other medium excluding electronic medium, please e-mail
  79. xforce@iss.net for permission.
  80.  
  81. Disclaimer:
  82.  
  83. The information within this paper may change without notice. Use of this
  84. information constitutes acceptance for use in an AS IS condition. There
  85. are NO warranties with regard to this information. In no event shall the
  86. author be liable for any damages whatsoever arising out of or in
  87. connection with the use or spread of this information. Any use of this
  88. information is at the user's own risk.
  89.  
  90. X-Force PGP Key available at: http://www.iss.net/xforce/sensitive.html,
  91. as well as on MIT's PGP key server and PGP.com's key server.
  92.  
  93. X-Force Vulnerability and Threat Database: http://www.iss.net/xforce
  94.  
  95. Please send suggestions, updates, and comments to: X-Force
  96. <xforce@iss.net> of Internet Security Systems, Inc.
  97.  
  98. -----BEGIN PGP SIGNATURE-----
  99. Version: 2.6.3a
  100. Charset: noconv
  101.  
  102. iQCVAwUBNshBDjRfJiV99eG9AQEswgP/a76fI4GVtLraVVuBAWNG6bY2moihbs54
  103. 62kT4Zf+oLzgMl4HbpFjFAzXjhL0fQdMzs26LTk1W8MC0idvRj9p65JMajkalUL+
  104. 78OcrkWqHIWH6mQ9ijnGJVW9x1LCEAXOD3EYl+PSTnR02WR2z0DNj30bdEUjp2LN
  105. DfSFhqndj5o=
  106. =xVb7
  107. -----END PGP SIGNATURE-----
  108.  
  109.