home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-93:04.Amiga.finger.vulnerability < prev    next >
Encoding:
Text File  |  1993-02-12  |  3.0 KB  |  89 lines
  1. ===========================================================================
  2. CA-93:04                      CERT Advisory
  3.                             February 12, 1993
  4.                Commodore Amiga UNIX finger Vulnerability
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The CERT Coordination Center has received information concerning a
  9. vulnerability in the "finger" program of Commodore Business Machine's
  10. Amiga UNIX product.  The vulnerability affects Commodore Amiga UNIX
  11. versions 1.1, 2.03, 2.1, 2.1p1, 2.1p2, and 2.1p2a.  Commodore is aware
  12. of the vulnerability, and both a workaround and a patch are available.
  13. Affected sites should apply either the workaround or the patch, and
  14. directions are provided below. 
  15.  
  16. If you have any further questions, contact Commodore's David Miller
  17. via e-mail.  David's e-mail address is davidm@cdmvax.commodore.com.
  18.  
  19. ---------------------------------------------------------------------------
  20.  
  21. I.    Description
  22.  
  23.       The "finger" command in Amiga UNIX contains a security
  24.       vulnerability.
  25.  
  26.  
  27. II.   Impact
  28.  
  29.       Non-privileged users can gain unauthorized access to files.
  30.  
  31.  
  32. III.  Solution
  33.  
  34.       Commodore has suggested a workaround and a patch, as follows:
  35.  
  36.       A. Workaround
  37.  
  38.          As root, modify the permission of the existing /usr/bin/finger
  39.          to prevent misuse.
  40.  
  41.                 # /bin/chmod 0755 /usr/bin/finger
  42.  
  43.       B. Patch
  44.  
  45.          As root, install the "pubsrc" package from the distribution tape. 
  46.  
  47.          In the file, "/usr/src/pub/cmd/finger/src/finger.c", add the line:
  48.  
  49.                 setuid(getuid());
  50.  
  51.          immediately before the line reading:
  52.  
  53.                 display_finger(finger_list);
  54.  
  55.          (Optionally) save a copy of the existing /usr/bin/finger and modify
  56.          its permission to prevent misuse.
  57.  
  58.                 # /bin/mv /usr/bin/finger /usr/bin/finger.orig
  59.                 # /bin/chmod 0755 /usr/bin/finger.orig
  60.  
  61.          In the directory, "/usr/src/pub/cmd/finger", issue the command:
  62.  
  63.                 # cd /usr/src/pub/cmd/finger
  64.                 # make install
  65.  
  66. ------------------------------------------------------------------------------ 
  67. The CERT Coordination Center wishes to thank Commodore Business
  68. Machines for their response to this problem.
  69. ------------------------------------------------------------------------------ 
  70.  
  71. If you believe that your system has been compromised, contact the CERT
  72. Coordination Center or your representative in FIRST (Forum of Incident
  73. Response and Security Teams).
  74.  
  75. Internet E-mail: cert@cert.org
  76. Telephone: 412-268-7090 (24-hour hotline)
  77.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  78.            on call for emergencies during other hours.
  79.  
  80. CERT Coordination Center
  81. Software Engineering Institute
  82. Carnegie Mellon University
  83. Pittsburgh, PA 15213-3890
  84.  
  85. Past advisories, information about FIRST representatives, and other
  86. information related to computer security are available for anonymous FTP
  87. from cert.org (192.88.209.5).
  88.  
  89.