home *** CD-ROM | disk | FTP | other *** search
/ Altsys Virtuoso 2.0K / virtuoso_20k.iso / NeXTanswers / Security / 1203_CA-91:12-General_Trusted.Hosts.txt < prev    next >
Encoding:
Text File  |  1993-06-07  |  2.6 KB  |  67 lines
  1. ===========================================================================
  2. CA-91:12                        CERT Advisory
  3.                                August 22, 1991
  4.                     Trusted Hosts Configuration Vulnerability
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
  9. received information concerning a vulnerability in the configuration
  10. of several system files.  This advisory discusses a workaround since
  11. there are no permanent patches available at this time.
  12.  
  13. This vulnerability is present in a very large number of UNIX-based
  14. operating systems. Therefore, we recommend that ALL sites take the 
  15. corrective actions listed below.
  16.  
  17. ---------------------------------------------------------------------------
  18.  
  19. I.   DESCRIPTION:
  20.  
  21.      The presence of a '-' as the first character in /etc/hosts.equiv,
  22.      /etc/hosts.lpd and .rhosts files may allow unauthorized access 
  23.      to the system.
  24.      
  25. II.  IMPACT:
  26.  
  27.      Remote users can gain unauthorized root access to the system.
  28.  
  29. III. SOLUTION:
  30.         
  31.      Rearrange the order of entries in the hosts.equiv, hosts.lpd,
  32.      and .rhosts files so that the first line does not contain 
  33.      a leading '-' character.
  34.  
  35.      Remove hosts.equiv, hosts.lpd, and .rhosts files containing only 
  36.      entries beginning with a '-' character.
  37.  
  38.      .rhosts files in ALL accounts, including root, bin, sys, news, etc.,
  39.      should be examined and modified as required.  .rhosts files that
  40.      are not needed should be removed.    
  41.  
  42.      Please note that the CERT/CC strongly cautions sites about the
  43.      use of hosts.equiv and .rhosts files.  We suggest that they NOT
  44.      be used unless absolutely necessary.  
  45.  
  46. ---------------------------------------------------------------------------
  47. The CERT/CC wishes to thank Alan Marcum, NeXT Computer, for bringing
  48. this security vulnerability to our attention.  We would also like to
  49. thank CIAC for their assistance in testing this vulnerability.
  50. ---------------------------------------------------------------------------
  51.  
  52. If you believe that your system has been compromised, contact CERT/CC via
  53. telephone or e-mail.
  54.  
  55. Computer Emergency Response Team/Coordination Center (CERT/CC)
  56. Software Engineering Institute
  57. Carnegie Mellon University
  58. Pittsburgh, PA 15213-3890
  59.  
  60. Internet E-mail: cert@cert.org
  61. Telephone: 412-268-7090 24-hour hotline:
  62.            CERT/CC personnel answer 7:30a.m.-6:00p.m. EST,
  63.            on call for emergencies during other hours.
  64.  
  65. Past advisories and other computer security related information are available
  66. for anonymous ftp from the cert.org (192.88.209.5) system.
  67.