home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / network / 9002 < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.8 KB  |  79 lines
  1. ***********************************************************************
  2. DDN Security Bulletin 90-02      DCA DDN Defense Communications System
  3. 30 Jan 90               Published by: DDN Security Coordination Center
  4.                                      (SCC@NIC.DDN.MIL)  (800) 235-3155
  5.  
  6.                         DEFENSE  DATA  NETWORK
  7.                           SECURITY  BULLETIN
  8.  
  9. The DDN  SECURITY BULLETIN  is distributed  by the  DDN SCC  (Security
  10. Coordination Center) under  DCA contract as  a means of  communicating
  11. information on network and host security exposures, fixes, &  concerns
  12. to security & management personnel at DDN facilities.  Back issues may
  13. be  obtained  via  FTP  (or  Kermit)  from  NIC.DDN.MIL  [26.0.0.73 or
  14. 10.0.0.51] using login="anonymous" and password="guest".  The bulletin
  15. pathname is SCC:DDN-SECURITY-yy-nn (where "yy" is the year the bulletin
  16. is issued and "nn" is a bulletin number, e.g. SCC:DDN-SECURITY-90-01).
  17. **********************************************************************
  18.  
  19.                       SUN SENDMAIL VULNERABILITY
  20.  
  21. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  22. !                                                                       !
  23. !     The following important  advisory was  issued by the Computer     !
  24. !     Emergency Response Team (CERT)  and is being relayed unedited     !
  25. !     via the Defense Communications Agency's Security Coordination     !
  26. !     Center  distribution  system  as a  means  of  providing  DDN     !
  27. !     subscribers with useful security information.                     !
  28. !                                                                       !
  29. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  30.  
  31.                 CERT Advisory
  32.                29 January 1990
  33.               Sun Sendmail Vulnerability
  34.  
  35.  
  36. The Computer Emergency Response Team Coordination Center (CERT/CC) has
  37. learned of, and has verified, break-ins on several Internet systems 
  38. in which the intruders have exploited a vulnerability in the Sun
  39. sendmail program.  This vulnerability exists in all versions of
  40. SunOS up to and including the current version, 4.0.3 on Sun 3, Sun 4,
  41. and Sun 386i systems (note that 4.0.2 is the most current version of
  42. SunOS on the 386i machines). That is, all current Sun systems.
  43.  
  44. The vulnerability has previously been reported to Sun and a solution
  45. to this problem (Sun bug # 1028173) is available via a new version of
  46. sendmail supplied by Sun.  The new sendmail is available directly from
  47. the Sun Answer Center (1-800-USA-4SUN).  Sun 3 and Sun 4 sendmail
  48. binaries are also available via anonymous FTP from uunet.uu.net in the
  49. /sun-fixes directory.
  50.  
  51. This incident underscores the need for system administrators to
  52. maintain an awareness of the steps their vendors are taking to
  53. improve the security aspects of their products, and to seriously
  54. consider upgrading system configurations when solutions to security
  55. problems are made available.
  56.  
  57. Administrators of Sun systems are urged to contact Sun for the new
  58. version of the sendmail program.  Administrators of machines other 
  59. than Suns are urged to contact their vendors to verify that they are 
  60. running the latest version of sendmail, since there may have been 
  61. security related fixes to it in the past year.
  62.  
  63. If you need further information on this problem, contact your Sun
  64. representative or CERT/CC.  CERT/CC can be contacted by telephone at
  65. (412) 268-7090 (24 hours) or email to cert@cert.sei.cmu.edu (monitored
  66. daily).
  67.  
  68. Our thanks to Matt Bishop and Wayne Cripps for their efforts in
  69. analyzing and investigating this problem and its solution.
  70.  
  71.  
  72. Kenneth R. van Wyk
  73. Technical Coordinator, Computer Emergency Response Team
  74. Software Engineering Institute
  75. Carnegie Mellon University
  76. cert@CERT.SEI.CMU.EDU
  77. (412) 268-7090  (24 hour hotline)
  78.  
  79.