home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-92:09.AIX.anonymous.ftp.vulnerability < prev    next >
Encoding:
Text File  |  1992-04-26  |  2.6 KB  |  66 lines
  1. ===========================================================================
  2. CA-92:09                        CERT Advisory
  3.                                April 27, 1992
  4.                        AIX Anonymous FTP Vulnerability
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  9. received information concerning a vulnerability in the anonymous FTP
  10. configuration in all versions of AIX.
  11.  
  12. IBM is aware of this problem and a fix is available as apar number
  13. "ix23944".  This patch is available for all AIX releases from "GOLD".
  14.  
  15. IBM customers may call IBM Support (800-237-5511) and ask that the fix
  16. be shipped to them.  Patches may be obtained outside the U.S. by contacting 
  17. your local IBM representative.  The fix will appear in the upcoming 2009 
  18. update and the next release of AIX.
  19.  
  20. ---------------------------------------------------------------------------
  21.  
  22. I.   Description
  23.  
  24.      Previous versions of the anonymous FTP installation script,
  25.      /usr/lpp/tcpip/samples/anon.ftp, incorrectly configured various files
  26.      and directories.
  27.      
  28.  
  29. II.  Impact
  30.  
  31.      Remote users can execute unauthorized commands and gain access to the
  32.      system if anonymous FTP has been installed.
  33.  
  34.  
  35. III. Solution
  36.  
  37.      A.  Obtain the fix from IBM Support.  The fix contains three
  38.          files: a "readme" file (README.a23944), the fix installation
  39.          script (install.a23944), and an archive containing the updated
  40.          files (PATCH.a23944.Z).
  41.  
  42.      B.  Install the fix following the instructions in the README file.
  43.  
  44. ---------------------------------------------------------------------------
  45. The CERT/CC would like to thank Charles McGuire of the Computer Science
  46. Department, the University of Montana for bringing this security
  47. vulnerability to our attention and IBM for their response to the problem.
  48. ---------------------------------------------------------------------------
  49.  
  50. If you believe that your system has been compromised, contact CERT/CC or
  51. your representative in FIRST (Forum of Incident Response and Security Teams).
  52.  
  53. Internet E-mail: cert@cert.org
  54. Telephone: 412-268-7090 (24-hour hotline)
  55.            CERT/CC personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  56.            on call for emergencies during other hours.
  57.  
  58. Computer Emergency Response Team/Coordination Center (CERT/CC)
  59. Software Engineering Institute
  60. Carnegie Mellon University
  61. Pittsburgh, PA 15213-3890
  62.  
  63. Past advisories, information about FIRST representatives, and other
  64. information related to computer security are available for anonymous ftp
  65. from cert.org (192.88.209.5).
  66.