home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-91:08.systemV.login.vulnerability < prev    next >
Encoding:
Text File  |  1991-05-22  |  2.6 KB  |  74 lines
  1. ---------------------------------------------------------------------------
  2. CA-91:08                        CERT Advisory
  3.                                  May 23, 1991
  4.                AT&T System V Release 4 /bin/login Vulnerability
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  9. received information concerning a security vulnerability in AT&T's UNIX(r)
  10. System V Release 4 operating system.  AT&T is providing a software upgrade 
  11. for Release 4 operating system vendors and a patch for AT&T Computer Systems
  12. customers.  AT&T has also provided a suggested fix for all Release 4
  13. based systems.
  14.   
  15. ---------------------------------------------------------------------------
  16. I.   DESCRIPTION:
  17.  
  18.      A security vulnerability exists in /bin/login in AT&T's System V
  19.      Release 4 operating system.
  20.  
  21.  
  22. II.  IMPACT:
  23.  
  24.      System users can gain unauthorized privileges.
  25.  
  26.  
  27. III. SOLUTION:
  28.     
  29.      A.  AT&T Computer Systems customers
  30.  
  31.          Log into the root account.  Change the execution permission on
  32.          the file /bin/login.
  33.  
  34.              chmod 500 /bin/login
  35.  
  36.          Contact AT&T Computer Systems at 800-922-0354 to obtain a fix.
  37.          The numbers associated with the fix are 156 (3.5" media) and
  38.          157 (5.25" media).
  39.  
  40.          International customers should contact their local AT&T 
  41.          Computer Systems representative.
  42.  
  43.      B.  All other System V Release 4 based systems
  44.  
  45.          Log into the root account.  Change the execution permission on
  46.          the file /bin/login.
  47.  
  48.                 chmod 500 /bin/login
  49.  
  50.          Release 4 customers should contact their operating system
  51.          supplier for details on the availability of the software
  52.          update.
  53.  
  54. ---------------------------------------------------------------------------
  55. The CERT/CC would like to thank AT&T for their timely response to our
  56. report of this vulnerability.
  57. ---------------------------------------------------------------------------
  58.  
  59. If you believe that your system has been compromised, contact CERT/CC via
  60. telephone or e-mail.
  61.  
  62. Computer Emergency Response Team/Coordination Center (CERT/CC)
  63. Software Engineering Institute
  64. Carnegie Mellon University
  65. Pittsburgh, PA 15213-3890
  66.  
  67. Internet E-mail: cert@cert.sei.cmu.edu
  68. Telephone: 412-268-7090 24-hour hotline:
  69.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EST,
  70.            on call for emergencies during other hours.
  71.  
  72. Past advisories and other computer security related information are available
  73. for anonymous ftp from the cert.sei.cmu.edu (192.88.209.5) system.
  74.