home *** CD-ROM | disk | FTP | other *** search

---

/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9207

< prev

next >

Wrap

PGP Signed Message  |  1997-02-28  |  3KB  |  94 lines

---

1. -----BEGIN PGP SIGNED MESSAGE-----
2.  
3. ===========================================================================
4. CA-92:07                        CERT Advisory
5.                                March 31, 1992
6.                         AIX /bin/passwd Vulnerability
7.  
8. - ---------------------------------------------------------------------------
9.  
10. The Computer Emergency Response Team/Coordination Center (CERT/CC) has
11. received information concerning a vulnerability with the passwd command
12. in AIX 3.2 and the 2007 update of AIX 3.1.
13.  
14. IBM is aware of this problem, and a fix is available as apar number
15. "ix23505".  Patches are available for AIX 3.2 and the 2007 update of 
16. AIX 3.1.
17.  
18. This fix may be ordered from Level 2 support or by anonymous ftp from 
19. software.watson.ibm.com (129.34.139.5) on the Internet.
20.  
21.      1. To order from IBM call 1-800-237-5511 and ask 
22.         that the fix be shipped.  Patches may be obtained
23.         outside the U.S. by contacting your local IBM
24.         representative.
25.  
26.      2. If you are on the Internet, use anonymous ftp to obtain 
27.         the fix from software.watson.ibm.com.
28.  
29.         Patch           Filename                Checksum
30.         AIX 3.2         pub/aix3/pas.32.tar.Z   54431  2262
31.         AIX 3.1 2007    pub/aix3/pas.31.tar.Z   06703    99
32.  
33.         Patches should be retrieved using binary mode.
34.  
35.  
36. IBM is currently incorporating the fix into the 3.2 version and 3.1
37. updates of AIX.  Future shipments of these products should not be 
38. vulnerable to this problem.  If you have any questions about products 
39. you receive, please contact your IBM representative.
40. - ---------------------------------------------------------------------------
41.  
42. I.   Description
43.  
44.      The passwd command contains a security vulnerability.
45.  
46. II.  Impact
47.  
48.      Local users can gain unauthorized root access.
49.  
50. III. Solution
51.  
52.      A.  As root, disable /bin/passwd until you obtain and install 
53.          the patch.
54.  
55.                 # chmod 0500 /bin/passwd
56.  
57.      B.  Obtain the fix from IBM and install according to the
58.          directions provided with the patch.
59.  
60. - ---------------------------------------------------------------------------
61. The CERT/CC would like to thank Paul Selick of the University of Toronto
62. for bringing this security vulnerability to our attention.  We would also 
63. like to thank IBM for their quick response to this problem, and for making 
64. the patches available via anonymous ftp.
65. - ---------------------------------------------------------------------------
66.  
67. If you believe that your system has been compromised, contact CERT/CC or
68. your representative in FIRST (Forum of Incident Response and Security Teams).
69.  
70. Internet E-mail: cert@cert.org
71. Telephone: 412-268-7090 (24-hour hotline)
72.            CERT/CC personnel answer 7:30 a.m.-6:00 p.m. EST(GMT-5)/EDT(GMT-4),
73.            on call for emergencies during other hours.
74.  
75. Computer Emergency Response Team/Coordination Center (CERT/CC)
76. Software Engineering Institute
77. Carnegie Mellon University
78. Pittsburgh, PA 15213-3890
79.  
80. Past advisories, information about FIRST representatives, and other
81. information related to computer security are available for anonymous ftp
82. from cert.org (192.88.209.5).
83.  
84.  
85. -----BEGIN PGP SIGNATURE-----
86. Version: 2.6.2
87.  
88. iQCVAwUBMaMw73VP+x0t4w7BAQFUdAP7BR5tDeOaYBC/YxUTCoKIkd/VTgfD/3KG
89. Tx+9vGzBRF2hmvXfaRZNPU+hBy0ev6AjoHCEtvRyebmFe3JcAciRzttPMm0xvPxl
90. RmNt47D/VFsQxq/9GZIGxuNDUzACJ+6vayhFOU7aAvwgyuJIt7lSa05La1fDHFpD
91. lFP3g/nbrlA=
92. =Rh+E
93. -----END PGP SIGNATURE-----
94.