home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / ddn-security-9305 < prev    next >
Encoding:
Text File  |  1993-02-16  |  5.6 KB  |  131 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9305                  DISA Defense Communications System
  4. February 16, 1993           Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11.   Coordination Center) under DISA contract as a means of communicating
  12.   information on network and host security exposures, fixes, and concerns
  13.   to security and management personnel at DDN facilities.  Back issues may
  14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15.   using login="anonymous" and password="guest".  The bulletin pathname is
  16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9305).
  18. **************************************************************************
  19. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  20. !                                                                       !
  21. !     The following important  advisory was  issued by the Computer     !
  22. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  23. !     via the Defense Information Systems Agency's Security             !
  24. !     Coordination Center  distribution  system  as a  means  of        !
  25. !     providing  DDN subscribers with useful security information.      !
  26. !                                                                       !
  27. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  28.  
  29. ===========================================================================
  30. CA-93:04                      CERT Advisory
  31.                             February 12, 1993
  32.                Commodore Amiga UNIX finger Vulnerability
  33.  
  34. ---------------------------------------------------------------------------
  35.  
  36. The CERT Coordination Center has received information concerning a
  37. vulnerability in the "finger" program of Commodore Business Machine's
  38. Amiga UNIX product.  The vulnerability affects Commodore Amiga UNIX
  39. versions 1.1, 2.03, 2.1, 2.1p1, 2.1p2, and 2.1p2a.  Commodore is aware
  40. of the vulnerability, and both a workaround and a patch are available.
  41. Affected sites should apply either the workaround or the patch. 
  42. Directions are provided below. 
  43.  
  44. If you have any further questions, contact Commodore's David Miller
  45. via e-mail.  David's e-mail address is davidm@cdmvax.commodore.com.
  46.  
  47. ---------------------------------------------------------------------------
  48.  
  49. I.    Description
  50.  
  51.       The "finger" command in Amiga UNIX contains a security
  52.       vulnerability.
  53.  
  54.  
  55. II.   Impact
  56.  
  57.       Non-privileged users can gain unauthorized access to files.
  58.  
  59.  
  60. III.  Solution
  61.  
  62.       Commodore has suggested a workaround and a patch, as follows:
  63.  
  64.       A. Workaround
  65.  
  66.          As root, modify the permission of the existing /usr/bin/finger
  67.          to prevent misuse.
  68.  
  69.                 # /bin/chmod 0755 /usr/bin/finger
  70.  
  71.       B. Patch
  72.  
  73.          As root, install the "pubsrc" package from the distribution tape. 
  74.  
  75.          In the file, "/usr/src/pub/cmd/finger/src/finger.c", add the line:
  76.  
  77.                 setuid(getuid());
  78.  
  79.          immediately before the line reading:
  80.  
  81.                 display_finger(finger_list);
  82.  
  83.          (Optionally) save a copy of the existing /usr/bin/finger and modify
  84.          its permission to prevent misuse.
  85.  
  86.                 # /bin/mv /usr/bin/finger /usr/bin/finger.orig
  87.                 # /bin/chmod 0755 /usr/bin/finger.orig
  88.  
  89.          In the directory, "/usr/src/pub/cmd/finger", issue the command:
  90.  
  91.                 # cd /usr/src/pub/cmd/finger
  92.                 # make install
  93.  
  94. ------------------------------------------------------------------------------ 
  95. The CERT Coordination Center wishes to thank Commodore Business
  96. Machines for their response to this problem.
  97. ------------------------------------------------------------------------------ 
  98.  
  99. If you believe that your system has been compromised, contact the CERT
  100. Coordination Center or your representative in FIRST (Forum of Incident
  101. Response and Security Teams).
  102.  
  103. Internet E-mail: cert@cert.org
  104. Telephone: 412-268-7090 (24-hour hotline)
  105.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  106.            on call for emergencies during other hours.
  107.  
  108. CERT Coordination Center
  109. Software Engineering Institute
  110. Carnegie Mellon University
  111. Pittsburgh, PA 15213-3890
  112.  
  113. Past advisories, information about FIRST representatives, and other
  114. information related to computer security are available for anonymous FTP
  115. from cert.org (192.88.209.5).
  116.  
  117.  
  118. ****************************************************************************
  119. *                                                                          *
  120. *    The point of contact for MILNET security-related incidents is the     *
  121. *    Security Coordination Center (SCC).                                   *
  122. *                                                                          *
  123. *               E-mail address: SCC@NIC.DDN.MIL                            *
  124. *                                                                          *
  125. *               Telephone: 1-(800)-365-3642                                *
  126. *                                                                          *
  127. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  128. *    Monday through Friday except on federal holidays.                     *
  129. *                                                                          *
  130. ****************************************************************************
  131.