home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / cert_advisories / CA-93:04a.Amiga.finger.vulnerability < prev    next >
Encoding:
Text File  |  1993-02-17  |  3.2 KB  |  94 lines
  1. ===========================================================================
  2. CA-93:04a                     CERT Advisory
  3.                             February 18, 1993
  4.       REVISION NOTICE: Commodore Amiga UNIX finger Vulnerability
  5.                    
  6. ---------------------------------------------------------------------------
  7.  
  8.            *** THIS IS A REVISED CERT ADVISORY ***
  9.            *** IT CONTAINS UPDATED INFORMATION ***
  10.  
  11. The CERT Coordination Center has received information concerning a
  12. vulnerability in the "finger" program of Commodore Business Machine's
  13. Amiga UNIX product.  The vulnerability affects Commodore Amiga UNIX
  14. versions 1.1, 2.03, 2.1, 2.1p1, 2.1p2, and 2.1p2a.  Commodore is aware
  15. of the vulnerability, and both a workaround and a patch are available.
  16. Affected sites should apply either the workaround or the patch, and
  17. directions are provided below. 
  18.  
  19. The Commodore contact e-mail address given in CERT Advisory CA-93:04
  20. was incorrect.  This revised advisory provides the correct e-mail
  21. address.  If you have any further questions, contact David Miller of
  22. Commodore via e-mail at davidm@commodore.com.
  23.  
  24. ---------------------------------------------------------------------------
  25.  
  26. I.    Description
  27.  
  28.       The "finger" command in Amiga UNIX contains a security
  29.       vulnerability.
  30.  
  31.  
  32. II.   Impact
  33.  
  34.       Non-privileged users can gain unauthorized access to files.
  35.  
  36.  
  37. III.  Solution
  38.  
  39.       Commodore has suggested a workaround and a patch, as follows:
  40.  
  41.       A. Workaround
  42.  
  43.          As root, modify the permission of the existing /usr/bin/finger
  44.          to prevent misuse.
  45.  
  46.                 # /bin/chmod 0755 /usr/bin/finger
  47.  
  48.       B. Patch
  49.  
  50.          As root, install the "pubsrc" package from the distribution tape. 
  51.  
  52.          In the file, "/usr/src/pub/cmd/finger/src/finger.c", add the line:
  53.  
  54.                 setuid(getuid());
  55.  
  56.          immediately before the line reading:
  57.  
  58.                 display_finger(finger_list);
  59.  
  60.          (Optionally) save a copy of the existing /usr/bin/finger and modify
  61.          its permission to prevent misuse.
  62.  
  63.                 # /bin/mv /usr/bin/finger /usr/bin/finger.orig
  64.                 # /bin/chmod 0755 /usr/bin/finger.orig
  65.  
  66.          In the directory, "/usr/src/pub/cmd/finger", issue the command:
  67.  
  68.                 # cd /usr/src/pub/cmd/finger
  69.                 # make install
  70.  
  71. ------------------------------------------------------------------------------ 
  72. The CERT Coordination Center wishes to thank Commodore Business
  73. Machines for their response to this problem.
  74. ------------------------------------------------------------------------------ 
  75.  
  76. If you believe that your system has been compromised, contact the CERT
  77. Coordination Center or your representative in FIRST (Forum of Incident
  78. Response and Security Teams).
  79.  
  80. Internet E-mail: cert@cert.org
  81. Telephone: 412-268-7090 (24-hour hotline)
  82.            CERT personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
  83.            on call for emergencies during other hours.
  84.  
  85. CERT Coordination Center
  86. Software Engineering Institute
  87. Carnegie Mellon University
  88. Pittsburgh, PA 15213-3890
  89.  
  90. Past advisories, information about FIRST representatives, and other
  91. information related to computer security are available for anonymous FTP
  92. from cert.org (192.88.209.5).
  93.  
  94.