home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 911007-02 < prev    next >
Encoding:
Internet Message Format  |  1991-10-07  |  4.5 KB
  1. From: tencati@nssdca.gsfc.nasa.gov
  2. Newsgroups: alt.security
  3. Subject: CIAC bulletin C-1: New TFTPD server available for IBM RS6000 systems
  4. Keywords: TFTP
  5. Message-Id: <7OCT199117542234@nssdca.gsfc.nasa.gov>
  6. Date: 7 Oct 91 22:54:00 GMT
  7. Organization: NASA - Goddard Space Flight Center
  8.  
  9. The following was received from the DoE CIAC regarding a patched TFTPD 
  10. server for IBM RS6000 systems:
  11.  
  12.                            ---------------------
  13.  
  14. Date: Mon, 7 Oct 91 14:25:12 PDT
  15. Subject: CIAC bulletin C-1: New TFTPD server available for IBM RS6000 systems
  16.  
  17.         _____________________________________________________
  18.              The Computer Incident Advisory Capability
  19.                          ___  __ __    _     ___
  20.                         /       |     / \   /
  21.                         \___  __|__  /___\  \___
  22.         _____________________________________________________
  23.                            INFORMATION BULLETIN 
  24.  
  25.       New TFTPD server available for IBM RS6000 systems
  26.  
  27. October 7, 1991, 1400 PDT                                 Number C-1
  28.  
  29. -----------------------------------------------------------------------------
  30. PROBLEM: All world readable files can be remotely retrieved using TFTP
  31.     on IBM RS6000 systems running AIX. 
  32. PLATFORM: IBM RS6000 systems running versions of AIX prior to the 2009 update.  
  33. DAMAGE: Potential unauthorized access and disclosure of critical
  34.     system files.
  35. SOLUTIONS:   Request and install TFTPD patch APAR number ix22628 from 
  36.     IBM; this patch limits the access of TFTP to specified directories.  
  37. -----------------------------------------------------------------------------
  38.           Critical Facts about the new TFTPD server
  39.  
  40. CIAC has learned of a version of TFTPD available for IBM RS6000
  41. systems running AIX.  This version will eliminate a problem in current
  42. versions of TFTPD that allows potential unauthorized access and
  43. disclosure of world-readable (including critical system) files by
  44. adding a feature that denies access to sensitive areas of the system.
  45. This program continues to support tftp access (which is required to
  46. support X-Terminals).  This new TFTPD server uses a configuration file
  47. (/etc/tftpaccess.ctl) to allow or deny access to specific directories
  48. and sub-directories before permitting any transfer of data.
  49.  
  50. During TFTP access the file /etc/tftpaccess.ctl is searched for lines
  51. that start with "allow:" or "deny:" All other lines are ignored.  If
  52. the file does not exist, the access is allowed in the currently
  53. supported fashion.  For example, the /usr directory might be allowed
  54. and the /usr/ucb directory might be denied.  This means that any
  55. directory or file in the /usr directory except the /usr/ucb directory
  56. can be accessed.  The entries in the /etc/tftpaccess.ctl file must be
  57. absolute path names.  The permissions on the /etc/tftpaccess.ctl file
  58. should be writable only by the root user (mode 0644).
  59.  
  60. IBM RS6000 customers may request this implementation of TFTPD by
  61. calling IBM Service and requesting APAR number ix22628.  This version
  62. of TFTPD will appear in the 2009 update and the next release of AIX.
  63. To install this new version of TFTPD, replace your current version of
  64. /etc/tftpd with the patched program and follow the provided
  65. instructions for setting up a /etc/tftpaccess.ctl file with the
  66. appropriate "allow:" or "deny:" lines.  Please contact IBM or CIAC
  67. for assistance.
  68.  
  69.     Tom Longstaff
  70.     (510) 423-4416**/(FTS) 543-4416
  71.     longstaf@llnl.gov
  72.  
  73. Send e-mail to ciac@llnl.gov or call CIAC at (510) 422-8193**/(FTS)
  74. 532-8193.  FAX messages to: (510) 423-8002**/(FTS) 543-8002.
  75.  
  76. Previous CIAC bulletins and other information is available via
  77. anonymous ftp from irbis.llnl.gov (ip address 128.115.19.60).  
  78.  
  79. **Note area code has changed from 415, although the 415 area code will
  80. work until Jan. 1992.
  81.  
  82. Neither the United States Government nor the University of California
  83. nor any of their employees, makes any warranty, expressed or implied,
  84. or assumes any legal liability or responsibility for the accuracy,
  85. completeness, or usefulness of any information, product, or process
  86. disclosed, or represents that its use would not infringe privately
  87. owned rights.  Reference herein to any specific commercial products,
  88. process, or service by trade name, trademark manufacturer, or
  89. otherwise, does not necessarily constitute or imply its endorsement,
  90. recommendation, or favoring by the United States Government or the
  91. University of California.  The views and opinions of authors expressed
  92. herein do not necessarily state or reflect those of the United States
  93. Government nor the University of California, and shall not be used for
  94. advertising or product endorsement purposes.
  95.  
  96.