home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / ddn-security-9307 < prev    next >
Encoding:
Text File  |  1993-02-24  |  8.4 KB  |  174 lines
  1.  
  2. **************************************************************************
  3. Security Bulletin 9307                  DISA Defense Communications System
  4. February 24, 1993           Published by: DDN Security Coordination Center
  5.                                       (SCC@NIC.DDN.MIL)   1-(800) 365-3642
  6.  
  7.                         DEFENSE  DATA  NETWORK
  8.                           SECURITY  BULLETIN
  9.  
  10.   The DDN SECURITY BULLETIN is distributed by the DDN SCC (Security
  11.   Coordination Center) under DISA contract as a means of communicating
  12.   information on network and host security exposures, fixes, and concerns
  13.   to security and management personnel at DDN facilities.  Back issues may
  14.   be obtained via FTP (or Kermit) from NIC.DDN.MIL [192.112.36.5]
  15.   using login="anonymous" and password="guest".  The bulletin pathname is
  16.   scc/ddn-security-yynn (where "yy" is the year the bulletin is issued
  17.   and "nn" is a bulletin number, e.g. scc/ddn-security-9307).
  18. **************************************************************************
  19.  
  20. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  21. !                                                                       !
  22. !     The following important advisory was issued by the Computer       !
  23. !     Emergency Response Team (CERT) and is being relayed unedited      !
  24. !     via the Defense Information Systems Agency's Security             !
  25. !     Coordination Center distribution system as a means of             !
  26. !     providing DDN subscribers with useful security information.       !
  27. !                                                                       !
  28. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  29.  
  30. ===========================================================================
  31. CA-93:05                      CERT Advisory
  32.                             February 24, 1993
  33.                  OpenVMS and OpenVMS AXP Vulnerability
  34. ---------------------------------------------------------------------------
  35.  
  36. The CERT Coordination Center has received information concerning a
  37. potential vulnerability with Digital Equipment Corporation's OpenVMS
  38. and OpenVMS AXP. This vulnerability is present in OpenVMS V5.0 through
  39. V5.5-2 and OpenVMS AXP V1.0 but has been corrected in OpenVMS V6.0 and
  40. OpenVMS AXP V1.5.  The Software Security Response Team at Digital
  41. Equipment Corporation has provided the following information
  42. concerning this vulnerability.
  43.  
  44. For additional information, please contact your local Digital Equipment
  45. Corporation customer service representative.
  46.  
  47.  
  48.        Beginning of Text Provided by Digital Equipment Corporation
  49. ==============================================================================
  50.  
  51. 23.FEB.1993
  52.  
  53.      SOURCE:            Digital Equipment Corporation
  54.      AUTHOR:            Software Security Response Team
  55.                         Colorado Springs USA
  56.  
  57.              PRODUCT: OpenVMS V5.0 through V5.5-2 & OpenVMS AXP V1.0
  58.  
  59.              PROBLEM: Potential Security Vulnerability - OpenVMS
  60.  
  61.              SOLUTION: A remedial kit is now available for 
  62.                        OpenVMS AXP V1.0 and OpenVMS V5.0 through
  63.                        V5.5-2 (including all SEVMS versions V5.1 through 
  64.                        V5.5-2 as applicable) by contacting your normal
  65.                        Digital Services Support organization.
  66.  
  67.              SEVERITY LEVEL: High
  68.  
  69.      This potential vulnerability has been corrected in the next release of
  70.      OpenVMS V6.0 and OpenVMS AXP V1.5.  For VMS Versions prior to
  71.      OpenVMS V5.0, Digital strongly recommends that you upgrade to a
  72.      minimum of OpenVMS V5.0 and further, to the latest release of
  73.      OpenVMS V5.5-2.
  74.  
  75.      -------------------------------------------------------------------------
  76.            The remedial kits may be identified as:
  77.  
  78.                 VAXSYS01_U2050   VMS V5.0, V5.0-1, V5.0-2
  79.                 VAXSYS01_U1051   VMS V5.1
  80.                 VAXSYS01_U1052   VMS V5.2
  81.                 VAXSYS01_U2053   VMS V5.3 thru V5.3-2
  82.                 VAXSYS01_U3054   VMS V5.4 thru V5.4-3
  83.                 VAXSYS02_U2055   OpenVMS V5.5 thru V5.5-2
  84.                 AXPSYS01_010     OpenVMS AXP V1.0
  85.  
  86.      -------------------------------------------------------------------------
  87.      Copyright (c) Digital Equipment Corporation, 1993 All Rights Reserved.
  88.      Published Rights Reserved Under The Copyright Laws Of The United States.
  89.  
  90.      -------------------------------------------------------------------------
  91.      ADVISORY INFORMATION:
  92.      -------------------------------------------------------------------------
  93.  
  94.      This update kit corrects a potential security vulnerability in
  95.      the OpenVMS VAX and OpenVMS AXP operating systems.  This potential
  96.      vulnerability may be further exploited in the form of a malicious program
  97.      that may allow authorized but unprivileged users to obtain all system
  98.      privileges, potentially giving the unprivileged user control of your
  99.      OpenVMS system and data.
  100.  
  101.      NOTE:
  102.      The update kit must be applied if an update or installation is performed
  103.      for all versions prior to OpenVMS V6.0 or OpenVMS AXP V1.5.  For VMS
  104.      Versions prior to OpenVMS V5.0, Digital strongly recommends that
  105.      you upgrade to a minimum of OpenVMS V5.0 and further to the
  106.      latest release of OpenVMS V5.5-2.
  107.  
  108.      -------------------------------------------------------------------------
  109.      INFORMATION:
  110.      -------------------------------------------------------------------------
  111.  
  112.      Digital strongly recommends that you install the available kit on your
  113.      system(s), to avoid any potential vulnerability as a result of this
  114.      problem.
  115.  
  116.      Customers with a Digital Services contract may obtain a kit for the
  117.      affected versions of OpenVMS by contacting their normal support
  118.      organizations.
  119.  
  120.      *  In the U.S., customers may contact the Customer Support Center
  121.         at 1(800)354-9000 and request the appropriate kit for their version
  122.         of OpenVMS, or through DSNlink Text Search database using the
  123.         keyword text "Potential Security Vulnerability", or DSNlink VTX using
  124.         the patch number 1084.
  125.  
  126.      *  Customers in other locations should contact their normal Digital
  127.         Services support organizations.
  128.  
  129.      As always, Digital recommends that you regularly review your system
  130.      management and security procedures.  Digital will continue to review and
  131.      enhance security features and work with its customers to further improve
  132.      the integrity of their systems.
  133.  
  134. ==============================================================================
  135.         End of Text Provided by Digital Equipment Corporation
  136.  
  137. ------------------------------------------------------------------------------
  138. The CERT Coordination Center wishes to thank Digital Equipment
  139. Corporation's Software Security Response Team for their response to
  140. this problem.
  141. ------------------------------------------------------------------------------ 
  142.  
  143. If you believe that your system has been compromised, contact the CERT
  144. Coordination Center or your representative in FIRST (Forum of Incident
  145. Response and Security Teams).
  146.  
  147. Internet E-mail: cert@cert.org
  148. Telephone: 412-268-7090 (24-hour hotline)
  149.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  150.            on call for emergencies during other hours.
  151.  
  152. CERT Coordination Center
  153. Software Engineering Institute
  154. Carnegie Mellon University
  155. Pittsburgh, PA 15213-3890
  156.  
  157. Past advisories, information about FIRST representatives, and other
  158. information related to computer security are available for anonymous FTP
  159. from cert.org (192.88.209.5).
  160.  
  161. ****************************************************************************
  162. *                                                                          *
  163. *    The point of contact for MILNET security-related incidents is the     *
  164. *    Security Coordination Center (SCC).                                   *
  165. *                                                                          *
  166. *               E-mail address: SCC@NIC.DDN.MIL                            *
  167. *                                                                          *
  168. *               Telephone: 1-(800)-365-3642                                *
  169. *                                                                          *
  170. *    NIC Help Desk personnel are available from 7:00 a.m.-7:00 p.m. EST,   *
  171. *    Monday through Friday except on federal holidays.                     *
  172. *                                                                          *
  173. ****************************************************************************
  174.