home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / unix / irixrpcs.tat < prev    next >
Encoding:
Text File  |  2003-06-11  |  7.0 KB  |  208 lines
  1. ______________________________________________________________________________
  2.                 Silicon Graphics Inc. Security Advisory
  3.  
  4.         Title:   Security vulnerabilities in rpc.statd program
  5.         Number:  19960301-01-P
  6.         Date:    February 29, 1996
  7. ______________________________________________________________________________
  8.  
  9. Silicon Graphics provides this information freely to the SGI user community
  10. for its consideration, interpretation, implementation and use.   Silicon
  11. Graphics recommends that this information be acted upon as soon as possible.
  12.  
  13. Silicon Graphics  will  not  be  liable  for any  indirect, special, or
  14. consequential damages arising from the use of, failure to use or improper
  15. use of any of the instructions or information in this Security Advisory.
  16. ______________________________________________________________________________
  17.  
  18.  
  19. It has been found that there are some security vulnerabilities within the
  20. /usr/etc/rpc.statd program.  After further investigation, SGI recommends
  21. the following steps for neutralizing this possible means of exploit.   It
  22. is HIGHLY RECOMMENDED that these measures be done on ALL SGI systems
  23. running IRIX 3.x, 4.x, 5.x and 6.x.  The issue will be permanently
  24. corrected in a future release of IRIX.
  25.  
  26.  
  27. - --------------
  28. - --- Impact ---
  29. - --------------
  30.  
  31.  
  32. The vulnerabilities found within the rpc.statd program could be used
  33. in several including removal of files and denial of service attacks.
  34. An existing account on the target system is not necessary.
  35.  
  36.  
  37. - ----------------
  38. - --- Solution ---
  39. - ----------------
  40.  
  41.  
  42. **** IRIX 3.x ****
  43.  
  44. Silicon Graphics Inc, no longer supports the IRIX 3.x operating system
  45. and therefore has no patches or binaries to provide.
  46.  
  47. If possible, it is recommended that the system be upgrade to a
  48. supported version of IRIX (see below) and then install the patch
  49. for that particular IRIX version.
  50.  
  51.  
  52. **** IRIX 4.x ****
  53.  
  54. As of the date of this document, SGI does not have a IRIX 4.x binary
  55. replacement that addresses this particular issue.   If in the future,
  56. a replacement binary is generated, additional advisory information will
  57. be provided.
  58.  
  59. If possible, it is recommended that the system be upgrade to a
  60. supported version of IRIX (see below) and then install the patch
  61. for that particular IRIX version.
  62.  
  63.  
  64. **** IRIX 5.0.x, 5.1.x ****
  65.  
  66. For the IRIX operating systems versions 5.0.x and 5.1.x, an upgrade
  67. to 5.2 or better is required first.  When the upgrade is completed,
  68. then the patches described in the following sections can be applied
  69. depending on the final version of the upgrade.
  70.  
  71.  
  72. **** IRIX 5.2 ****
  73.  
  74. For the IRIX operating system version 5.2, an inst-able patch has been
  75. generated and made available via anonymous FTP and your service/support
  76. provider.  The patch is number 1145 and will install on IRIX 5.2 only.
  77.  
  78. The SGI anonymous FTP site is sgigate.sgi.com (204.94.209.1) or its
  79. mirror, ftp.sgi.com.   Patch 1145 can be found in the following
  80. directories on the FTP server:
  81.  
  82.         ~ftp/Security
  83.  
  84.                 or
  85.  
  86.         ~ftp/Patches/5.2
  87.  
  88.                         ##### Checksums ####
  89.  
  90. The actual patch will be a tar file containing the following files:
  91.  
  92.  
  93. Filename:                 patchSG0001145
  94. Algorithm #1 (sum -r):    44131 2 patchSG0001145
  95. Algorithm #2 (sum):       6431 2 patchSG0001145
  96. MD5 checksum:             21AA35CB9907CE65E7E9F2CED4C5911A
  97.  
  98. Filename:                 patchSG0001145.eoe1_sw
  99. Algorithm #1 (sum -r):    00315 35 patchSG0001145.eoe1_sw
  100. Algorithm #2 (sum):       33929 35 patchSG0001145.eoe1_sw
  101. MD5 checksum:             40B85524141352FA8EE027230BE6322C
  102.  
  103. Filename:                 patchSG0001145.idb
  104. Algorithm #1 (sum -r):    45044 2 patchSG0001145.idb
  105. Algorithm #2 (sum):       60514 2 patchSG0001145.idb
  106. MD5 checksum:             784C192324E1D4CEAD0866CCE279EBC2
  107.  
  108. Filename:                 patchSG0001145.nfs_man
  109. Algorithm #1 (sum -r):    54026 6 patchSG0001145.nfs_man
  110. Algorithm #2 (sum):       4258 6 patchSG0001145.nfs_man
  111. MD5 checksum:             8B9266952D84D7B86386674FBEDDFC57
  112.  
  113. Filename:                 patchSG0001145.nfs_sw
  114. Algorithm #1 (sum -r):    11017 111 patchSG0001145.nfs_sw
  115. Algorithm #2 (sum):       29091 111 patchSG0001145.nfs_sw
  116. MD5 checksum:             F52AC0B723600A408A3F3FF1AF637E95
  117.  
  118.  
  119.  
  120.  
  121.  
  122. **** IRIX 5.3, 6.0, 6.0.1, 6.1 ****
  123.  
  124. For the IRIX operating system versions 5.3, 6.0, 6.0.1, and 6.1
  125. an inst-able patch has been generated and made available via anonymous
  126. FTP and your service/support provider.  The patch is number 1128
  127. and will install on IRIX 5.3, 6.0 and 6.0.1 only.
  128.  
  129.  
  130. The SGI anonymous FTP site is sgigate.sgi.com (204.94.209.1) or its
  131. mirror, ftp.sgi.com.   Patch 1128 can be found in the following
  132. directories on the FTP server:
  133.  
  134.         ~ftp/Security
  135.  
  136.                 or
  137.  
  138.         ~ftp/Patches/5.3
  139.         ~ftp/Patches/6.0
  140.         ~ftp/Patches/6.0.1
  141.         ~ftp/Patches/6.1
  142.  
  143.                         ##### Checksums ####
  144.  
  145. The actual patch will be a tar file containing the following files:
  146.  
  147.  
  148. Filename:                 patchSG0001128
  149. Algorithm #1 (sum -r):    20931 3 patchSG0001128
  150. Algorithm #2 (sum):       29192 3 patchSG0001128
  151. MD5 checksum:             133D5686F71C291FBFB03826171E6C74
  152.  
  153. Filename:                 patchSG0001128.eoe1_sw
  154. Algorithm #1 (sum -r):    61563 23 patchSG0001128.eoe1_sw
  155. Algorithm #2 (sum):       36962 23 patchSG0001128.eoe1_sw
  156. MD5 checksum:             CECD51825804C10EFC91AB21E64608A7
  157.  
  158. Filename:                 patchSG0001128.idb
  159. Algorithm #1 (sum -r):    27583 2 patchSG0001128.idb
  160. Algorithm #2 (sum):       59737 2 patchSG0001128.idb
  161. MD5 checksum:             0F242B0EEACF2F1A3C97B67C1924C887
  162.  
  163. Filename:                 patchSG0001128.nfs_man
  164. Algorithm #1 (sum -r):    55436 5 patchSG0001128.nfs_man
  165. Algorithm #2 (sum):       39750 5 patchSG0001128.nfs_man
  166. MD5 checksum:             2D902C2D245E370CA3747762075B4AFD
  167.  
  168. Filename:                 patchSG0001128.nfs_sw
  169. Algorithm #1 (sum -r):    16238 124 patchSG0001128.nfs_sw
  170. Algorithm #2 (sum):       57740 124 patchSG0001128.nfs_sw
  171. MD5 checksum:             2DEC03983024A7583D6B94431048014E
  172.  
  173.  
  174.  
  175. - -----------------------------------------
  176. - --- SGI Security Information/Contacts ---
  177. - -----------------------------------------
  178.  
  179.  
  180. Past SGI Advisories and security patches can be obtained via
  181. anonymous FTP from sgigate.sgi.com or its mirror, ftp.sgi.com.
  182. These security patches and advisories are provided freely to
  183. all interested parties.   For issues with the patches on the
  184. FTP sites, email can be sent to cse-security-alert@csd.sgi.com.
  185.  
  186. For assistance obtaining or working with security patches, please
  187. contact your SGI support provider.
  188.  
  189. If there are questions about this document, email can be sent to
  190. cse-security-alert@csd.sgi.com.
  191.  
  192. For reporting *NEW* SGI security issues, email can be sent to
  193. security-alert@sgi.com or contact your SGI support provider.  A
  194. support contract is not required for submitting a security report.
  195.  
  196.  
  197.  
  198. -----BEGIN PGP SIGNATURE-----
  199. Version: 2.6
  200.  
  201. iQCVAwUBMTZBErQ4cFApAP75AQGZ/wP+Na2rwJNtfLjTb+r62Qqql3/X8dJKDhKu
  202. c75INm4OA24HJP8ICGucUhrrr7phTWx7OkkkepDpPHySyES8gyXfJ5XF+aWGkVMN
  203. hgOuVYMnPJUnA+qiAyyGiYDJQRtaNpaDHifbOSWg2CCv30Hi5aTTy3FsJKSNpn6V
  204. mCQZ5l7bnGI=
  205. =pCex
  206. -----END PGP SIGNATURE-----
  207.  
  208.