home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0147.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.4 KB  |  197 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT* Advisory CA-97.15
  6. Original issue date: May 28, 1997
  7. Last revised: ---
  8.  
  9. Topic: Vulnerability in SGI login LOCKOUT
  10.  
  11. - -----------------------------------------------------------------------------
  12.  
  13.    The text of this advisory was originally released on April 10, 1997, as
  14.    AUSCERT Advisory AA-97.12, developed by the Australian Computer Emergency
  15.    Response Team. To more widely broadcast this information, we are reprinting
  16.    the AUSCERT advisory here with their permission. Only the contact
  17.    information at the end has changed: AUSCERT contact information has been
  18.    replaced with CERT/CC contact information.
  19.  
  20.    We will update this advisory as we receive additional information.
  21.    Look for it in an "Updates" section at the end of the advisory.
  22.  
  23. =============================================================================
  24.  
  25. AUSCERT has received information that a vulnerability exists in the login
  26. program when the LOCKOUT parameter in /etc/default/login is set to a number
  27. greater than zero. This vulnerability is known to be present in IRIX 5.3
  28. and 6.2. Other versions of IRIX may also be vulnerable.
  29.  
  30. This vulnerability may allow users to create arbitrary or corrupt certain
  31. files on the system.
  32.  
  33. Exploit information involving this vulnerability has been made publicly
  34. available.
  35.  
  36. At this stage, AUSCERT is unaware of any official vendor patches.  AUSCERT
  37. recommends that sites apply the workaround given in Section 3 until vendor
  38. patches are made available.
  39.  
  40. This advisory will be updated as more information becomes available.
  41.  
  42. - ---------------------------------------------------------------------------
  43.  
  44. 1.  Description
  45.  
  46.     Under the IRIX operating system, there is a file /etc/default/login
  47.     which contains default security logging configuration options.  If
  48.     the parameter LOCKOUT is included in this file, and is set to a value
  49.     greater than zero, it causes accounts to be locked after a specified
  50.     number of consecutive unsuccessful login attempts by the same user.
  51.  
  52.     When LOCKOUT is enabled users may be able to create arbitrary or
  53.     corrupt certain files on the system, due to an inadequate check in
  54.     the login verification process.
  55.  
  56.     Sites can determine if this functionality is enabled by using the
  57.     command:
  58.  
  59.         % grep '^LOCKOUT' /etc/default/login
  60.         LOCKOUT=3
  61.  
  62.     If the number on the same line as LOCKOUT is greater than zero the
  63.     vulnerability may be exploited.
  64.  
  65.     Information involving this vulnerability has been made publicly
  66.     available.
  67.  
  68.     Silicon Graphics Inc. has informed AUSCERT that they are investigating
  69.     this vulnerability.
  70.  
  71. 2.  Impact
  72.  
  73.     Users may create arbitrary or corrupt certain files on the system.
  74.  
  75. 3.  Workarounds/Solution
  76.  
  77.     AUSCERT recommends that sites prevent the exploitation of this
  78.     vulnerability by immediately applying the workaround given in Section
  79.     3.1.
  80.  
  81.     Currently there are no vendor patches available that address this
  82.     vulnerability.  AUSCERT recommends that official vendor patches be
  83.     installed when they are made available.
  84.  
  85. 3.1 Disable the LOCKOUT parameter
  86.  
  87.     To prevent the exploitation of the vulnerability described in this
  88.     advisory, AUSCERT recommends that the functionality provided with the
  89.     LOCKOUT parameter be disabled.
  90.  
  91.     The LOCKOUT parameter can be disabled by editing /etc/default/login
  92.     and commenting out the line containing the LOCKOUT parameter. The
  93.     comment character for /etc/default/login is "#".
  94.  
  95.     Note that after applying this workaround, accounts will not be
  96.     automatically locked using the LOCKOUT parameter functionality.
  97.  
  98. - ---------------------------------------------------------------------------
  99. AUSCERT thanks to Alan J Rosenthal from The University of Toronto and
  100. Silicon Graphics Inc. for their assistance in this matter.
  101. - ---------------------------------------------------------------------------
  102. ===============================================================================
  103.  
  104. If you believe that your system has been compromised, contact the CERT
  105. Coordination Center or your representative in the Forum of Incident Response 
  106. and Security Teams (see http://www.first.org/team-info/)
  107.  
  108.  
  109. CERT/CC Contact Information 
  110. - ---------------------------- 
  111. Email    cert@cert.org
  112.  
  113. Phone    +1 412-268-7090 (24-hour hotline)
  114.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  115.                 and are on call for emergencies during other hours.
  116.  
  117. Fax      +1 412-268-6989
  118.  
  119. Postal address
  120.          CERT Coordination Center
  121.          Software Engineering Institute
  122.          Carnegie Mellon University
  123.          Pittsburgh PA 15213-3890
  124.          USA
  125.  
  126. Using encryption
  127.    We strongly urge you to encrypt sensitive information sent by email. We can
  128.    support a shared DES key or PGP. Contact the CERT/CC for more information. 
  129.    Location of CERT PGP key
  130.          ftp://info.cert.org/pub/CERT_PGP.key
  131.  
  132. Getting security information
  133.    CERT publications and other security information are available from
  134.         http://www.cert.org/
  135.         ftp://info.cert.org/pub/
  136.  
  137.    CERT advisories and bulletins are also posted on the USENET newsgroup
  138.         comp.security.announce 
  139.  
  140.    To be added to our mailing list for advisories and bulletins, send 
  141.    email to
  142.         cert-advisory-request@cert.org 
  143.    In the subject line, type 
  144.         SUBSCRIBE  your-email-address 
  145.  
  146. - ---------------------------------------------------------------------------
  147. * Registered U.S. Patent and Trademark Office.
  148.  
  149. Copyright 1997 Carnegie Mellon University
  150. This material may be reproduced and distributed without permission provided
  151. it is used for noncommercial purposes and the copyright statement is
  152. included.
  153.  
  154. The CERT Coordination Center is part of the Software Engineering Institute
  155. (SEI). The SEI is sponsored by the U.S. Department of Defense.
  156. - ---------------------------------------------------------------------------
  157.  
  158. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.15.sgi_login
  159.            http://www.cert.org
  160.                click on "CERT Advisories"
  161. ==========================================================================
  162. UPDATES
  163.  
  164. May 28, 1997
  165. - ------------
  166. After the AUSCERT advisory was published, we received this information from
  167. Silicon Graphics:
  168.  
  169. At this time, Silicon Graphics does not have any public information
  170. for the login LOCKOUT issue.  Silicon Graphics has communicated with
  171. CERT and other external security parties and is actively investigating
  172. this issue.   When more Silicon Graphics information (including any
  173. possible patches) is available for release, that information will
  174. be released via the SGI security mailing list, wiretap.
  175.  
  176. For subscribing to the wiretap mailing list and other SGI security
  177. related information, please refer to the Silicon Graphics Security
  178. Headquarters website located at:
  179.  
  180.         http://www.sgi.com/Support/Secur/security.html
  181.  
  182.  
  183. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  184. Revision history
  185.  
  186.  
  187. -----BEGIN PGP SIGNATURE-----
  188. Version: 2.6.2
  189.  
  190. iQCVAwUBM4wd63VP+x0t4w7BAQEZhQP5Af9yVOVcKpS2rBHpjX2QSIwI7SKPUGAZ
  191. FFX8KJX0jG0TWe/AVREP+vc6N/kOxAGZvJwtc6yo4n7pZxhaNFu3H51qXUiNjEfe
  192. VX0IK9xk/iV2qrxenIzYnntzyU5cW6lHv2qwwJufy11cQwDq+qeanDLUQ/CPVn5P
  193. m+VO5NVnThM=
  194. =oAJo
  195. -----END PGP SIGNATURE-----
  196.  
  197.