home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-90:01.sun.sendmail.vulnerability < prev    next >
Encoding:
Text File  |  1990-01-28  |  2.4 KB  |  58 lines
  1.  
  2. CA-90:01
  3.                 CERT Advisory
  4.                29 January 1990
  5.               Sun Sendmail Vulnerability
  6. -----------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team Coordination Center (CERT/CC) has
  9. learned of, and has verified, break-ins on several Internet systems 
  10. in which the intruders have exploited a vulnerability in the Sun
  11. sendmail program.  This vulnerability exists in all versions of
  12. SunOS up to and including the current version, 4.0.3 on Sun 3, Sun 4,
  13. and Sun 386i systems (note that 4.0.2 is the most current version of
  14. SunOS on the 386i machines). That is, all current Sun systems.
  15.  
  16. The vulnerability has previously been reported to Sun and a solution
  17. to this problem (Sun bug # 1028173) is available via a new version of
  18. sendmail supplied by Sun.  The new sendmail is available directly from
  19. the Sun Answer Center (1-800-USA-4SUN).  Sun 3 and Sun 4 sendmail
  20. binaries are also available via anonymous FTP from uunet.uu.net in the
  21. /sun-fixes directory.
  22.  
  23. This incident underscores the need for system administrators to
  24. maintain an awareness of the steps their vendors are taking to
  25. improve the security aspects of their products, and to seriously
  26. consider upgrading system configurations when solutions to security
  27. problems are made available.
  28.  
  29. Administrators of Sun systems are urged to contact Sun for the new
  30. version of the sendmail program.  Administrators of machines other 
  31. than Suns are urged to contact their vendors to verify that they are 
  32. running the latest version of sendmail, since there may have been 
  33. security related fixes to it in the past year.
  34.  
  35. If you need further information on this problem, contact your Sun
  36. representative or CERT/CC.  CERT/CC can be contacted by telephone at
  37. (412) 268-7090 (24 hours) or email to cert@cert.sei.cmu.edu (monitored
  38. daily).
  39.  
  40. Our thanks to Matt Bishop and Wayne Cripps for their efforts in
  41. analyzing and investigating this problem and its solution.
  42.  
  43. -----------------------------------------------------------------------------
  44. Kenneth R. van Wyk
  45. Computer Emergency Response Team (CERT)
  46. Software Engineering Institute
  47. Carnegie Mellon University
  48. Pittsburgh, PA 15213-3890
  49.  
  50. Internet: cert@cert.sei.cmu.edu
  51. Telephone: 412-268-7090 24-hour hotline: CERT personnel answer
  52.            7:30a.m.-6:00p.m. EST, on call for
  53.            emergencies other hours.
  54.  
  55. Past advisories and other information are available for anonymous ftp
  56. from cert.sei.cmu.edu (192.88.209.5).
  57.  
  58.