home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-92:16.VMS.Monitor.vulnerability < prev    next >
Encoding:
Text File  |  1992-09-21  |  7.3 KB  |  170 lines
  1. CA-92:16                        CERT Advisory
  2.                              September 22, 1992
  3.                          VMS Monitor Vulnerability
  4.  
  5. ---------------------------------------------------------------------------
  6.  
  7. The CERT Coordination Center has received information concerning a
  8. potential vulnerability with Digital Equipment Corporation's VMS
  9. Monitor.  This vulnerability is present in V5.0 through V5.4-2 but has
  10. been corrected in V5.4-3 through V5.5-1.  The Software Security
  11. Response Team at Digital has provided the following information
  12. concerning this vulnerability.  
  13.  
  14. NOTE: Digital suggests that customers who are unable to upgrade their
  15. systems implement the workaround described below.
  16.  
  17. For additional information, please contact your local Digital Equipment
  18. Corporation customer service representative.
  19.  
  20.  
  21.        Beginning of Text provided by Digital Equipment Corporation
  22. ==============================================================================
  23. SSRT-0200      PROBLEM: Potential Security Vulnerability Identified in Monitor
  24.                 SOURCE: Digital Equipment Corporation
  25.                 AUTHOR: Software Security Response Team - U.S.
  26.                         Colorado Springs USA
  27.  
  28.                PRODUCT:  VMS
  29. Symptoms Identified On:  VMS, Versions 5.0, 5.0-1, 5.0-2, 5.1, 5.1-B,
  30.                                        5.1-1, 5.1-2, 5.2, 5.2-1, 5.3,
  31.                                        5.3-1, 5.3-2, 5.4, 5.4-1, 5.4-2
  32.  
  33.             *******************************************************
  34.             SOLUTION: This problem is not present in VMS V5.4-3
  35.                       (released in October 1991) through V5.5-1
  36.                       (released in July, 1992.)
  37.             *******************************************************
  38. Copyright (c) Digital Equipment Corporation, 1992 All Rights Reserved.
  39. Published Rights Reserved Under The Copyright Laws Of The United States.
  40. -------------------------------------------------------------------------------
  41. PROBLEM/IMPACT:
  42. -------------------------------------------------------------------------------
  43.      Unauthorized privileges may be expanded to authorized users of a system
  44.      under certain conditions, via the Monitor utility.   Should a system be
  45.      compromised through unauthorized access, there is a risk of potential
  46.      damage to a system environment.  This problem will not permit unauthorized
  47.      access entry, as individuals attempting to gain unauthorized access will
  48.      continue to be denied through the standard VMS security mechanisms.
  49. -------------------------------------------------------------------------------
  50. SOLUTION:
  51. -------------------------------------------------------------------------------
  52.      This potential vulnerability does not exist in VMS V5.4-3
  53.      (released in October 1991) and later versions of VMS through V5.5-1.
  54.  
  55.      Digital strongly recommends that you upgrade to a minimum of VMS V5.4-3,
  56.      and further, to the latest release of VMS V5.5-1. (released in July, 1992)
  57. ------------------------------------------------------------------------------
  58. INFORMATION:
  59. -------------------------------------------------------------------------------
  60.      If you cannot upgrade at this time Digital recommends that you
  61.      implement a workaround (examples attached below) to avoid any potential
  62.      vulnerability.
  63.  
  64.      As always, Digital recommends that you periodically review your system
  65.      management and security procedures.  Digital will continue to review and
  66.      enhance the security features of its products and work with customers to
  67.      maintain and improve the security and integrity of their systems.
  68. -------------------------------------------------------------------------------
  69. WORKAROUND
  70. -------------------------------------------------------------------------------
  71.      A suggested workaround would be to remove the installed image
  72.      SYS$SHARE:SPISHR.EXE via VMS INSTALL and/or restrict the use of
  73.      the MONITOR utility to "privileged" system administrators.
  74.      Below are the examples of doing both;
  75.  
  76. [1]  To disable the MONITOR utility the image SYS$SHARE:SPISHR.EXE should be
  77.      deinstalled.
  78.  
  79.     From a privileged account;
  80.  
  81.     For cluster configurations;
  82.     ---------------------------
  83.  
  84.     $ MC SYSMAN
  85.     SYSMAN> SET ENVIRONMENT/CLUSTER
  86.     SYSMAN> DO INSTALL REMOVE SYS$SHARE:SPISHR.EXE
  87.     SYSMAN> DO RENAME SYS$SHARE:SPISHR.EXE   SPISHR.HOLD
  88.     SYSMAN> EXIT
  89.  
  90.     For non-VAXcluster configurations;
  91.     ---------------------------------
  92.  
  93.     $INSTALL
  94.     INSTALL>REMOVE SYS$SHARE:SPISHR.EXE
  95.     INSTALL>EXIT
  96.     $RENAME SYS$SHARE:SPISHR.EXE SPISHR.HOLD
  97.  
  98.  
  99. [2] If you wish to restrict access to the MONITOR command so that only a
  100.     limited number of authorized (or privileged) persons are granted access
  101.     to the utility, one method might be to issue the following
  102.     example commands;
  103.  
  104.         From a privileged account;
  105.  
  106.     For cluster configurations;
  107.     ---------------------------
  108.  
  109.     $ MC SYSMAN
  110.     SYSMAN> SET ENVIRONMENT/CLUSTER
  111.     SYSMAN> DO INSTALL REMOVE SYS$SHARE:SPISHR.EXE
  112.     SYSMAN> DO SET FILE/ACL=(ID=*,ACCESS=NONE) SYS$SHARE:SPISHR.EXE
  113.     SYSMAN> DO SET FILE/ACL=(ID=SYSTEM,ACCESS=READ+EXECUTE) SYS$SHARE:SPISHR.EXE
  114.     SYSMAN> DO INSTALL ADD SYS$SHARE:SPISHR.EXE/OPEN/HEADER/SHARE/PROTECT
  115.     SYSMAN> EXIT
  116.     $
  117.         THIS WILL IMPACT the MONITOR UTILITY FOR REMOTE MONITORING.
  118.         LOCAL MONITORING WILL CONTINUE TO WORK FOR PERSONS HOLDING THE ID's
  119.         GRANTED ACL ACCESS.
  120.  
  121. see additional note(s) below
  122.  
  123.     For non-VAXcluster configurations;
  124.     ----------------------------------
  125.  
  126.     $ INSTALL
  127.     INSTALL>REMOVE SYS$SHARE:SPISHR.EXE
  128.     INSTALL>EXIT
  129.     $ SET FILE /ACL=(ID=*,ACCESS=NONE) SYS$SHARE:SPISHR.EXE
  130.     $ SET FILE /ACL=(ID=SYSTEM,ACCESS=READ+EXECUTE) SYS$SHARE:SPISHR.EXE
  131.     $ INSTALL
  132.     INSTALL>ADD SYS$SHARE:SPISHR.EXE/OPEN/HEADER/SHARE/PROTECT
  133.     INSTALL>EXIT
  134.     $
  135.  
  136.     IN THE ABOVE EXAMPLES, THE "SET FILE /ACL" LINE SHOULD BE REPEATED FOR
  137.     ALL ACCOUNTS THAT ARE REQUIRED/ALLOWED TO USE THE DCL MONITOR COMMAND.
  138.  
  139.     NOTE: The ID -SYSTEM- is an example, and should be
  140.            substituted as necessary with valid user ID's that are
  141.            associated with accounts you wish to grant access to.
  142.  
  143. ===========================================================================
  144.     End of Text provided by Digital Equipment Corporation
  145.  
  146.  
  147. ---------------------------------------------------------------------------
  148. CERT wishes to thank Teun Nijssen of CERT-NL (the SURFnet CERT, in the
  149. Netherlands) for bringing this security vulnerability to our attention.
  150. We would also like to thank Digital Equipment Corporation's Software Security 
  151. Response Team for providing information on this vulnerability.  
  152. ---------------------------------------------------------------------------
  153.  
  154. If you believe that your system has been compromised, contact CERT or
  155. your representative in FIRST (Forum of Incident Response and Security Teams).
  156.  
  157. Internet E-mail: cert@cert.org
  158. Telephone: 412-268-7090 (24-hour hotline)
  159.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  160.            on call for emergencies during other hours.
  161.  
  162. CERT Coordination Center
  163. Software Engineering Institute
  164. Carnegie Mellon University
  165. Pittsburgh, PA 15213-3890
  166.  
  167. Past advisories, information about FIRST representatives, and other
  168. information related to computer security are available for anonymous ftp
  169. from cert.org (192.88.209.5).
  170.