home *** CD-ROM | disk | FTP | other *** search

---

/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9513

< prev

next >

Wrap

PGP Signed Message  |  1997-02-28  |  23KB  |  569 lines

---

1. -----BEGIN PGP SIGNED MESSAGE-----
2.  
3. =============================================================================
4. CERT(sm) Advisory CA-95:13
5. Original issue date: October 19, 1995
6. Last revised: August 30, 1996
7.               Information previously in the README was inserted
8.               into the advisory.
9.  
10.               A complete revision history is at the end of this file.
11.  
12. Topic: Syslog Vulnerability - A Workaround for Sendmail
13. - -----------------------------------------------------------------------------
14.  
15. The CERT Coordination Center has received reports of problems with the
16. syslog(3) subroutine. To the best of our current knowledge, the problem is
17. present in virtually all versions of the UNIX Operating System except the
18. following: 
19.          
20.           Sony's NEWS-OS 6.X
21.           SunOS 5.5 (Solaris 2.5)
22.           Linux with libc version 4.7.2, released May 1995 
23.  
24. We have received reports indicating that the vulnerability is being exploited
25. with a script that has been written to be used with sendmail.
26.  
27. This advisory includes a workaround that you can use with sendmail. It
28. *does not* include workarounds for any other programs that use the syslog(3)
29. subroutine--telnetd, ftpd, httpd, etc.
30.  
31. The CERT Coordination Center recommends installing all appropriate
32. syslog-related patches as soon as they are available from vendors. But, in
33. the meantime, we suggest addressing at least the syslog problem in sendmail by
34. installing sendmail version 8.7.1. We are aware that several workarounds
35. concerning the syslog vulnerability have been published on the Internet, but
36. the CERT staff has not formally evaluated them.
37.  
38. We will update this advisory as we receive additional information.
39. Please check advisory files regularly for updates that relate to your site.
40. - -----------------------------------------------------------------------------
41.  
42. I.   Description
43.  
44.      The syslog(3) subroutine uses an internal buffer for building messages
45.      that are sent to the syslogd(8) daemon. This subroutine does no range
46.      checking on data stored in this buffer. It is possible to overflow the
47.      internal buffer and rewrite the subroutine call stack. It is then
48.      possible to execute arbitrary programs. 
49.  
50.      This problem is present in virtually all versions of the UNIX
51.      Operating System except the following:
52.  
53.         Sony's NEWS-OS 6.X
54.         SunOS 5.5 (Solaris 2.5)
55.         Linux with libc version 4.7.2 released in May, 1995
56.  
57.      The sendmail(8) program uses the syslog(3) subroutine, and a script has
58.      been written and is being used to exploit the vulnerability.
59.  
60. II.  Impact
61.  
62.      Local and remote users can execute commands. Prior access to the system
63.      is not needed. Exploitation can lead to root access.
64.  
65. III. Solution
66.  
67.      We recommend that you do all of A, B, and C.
68.  
69.      A. Install syslog patches from your vendor when they become available.
70.  
71.         Information we received from vendors as of the issue date of this
72.         advisory  is attached as Appendix A. We will update the appendix as
73.         vendors send updated information. 
74.  
75.         When you install patches, you will need to recompile/relink any
76.         programs built on your system that have been compiled without shared
77.         libraries, that is, compiled statically. Be especially careful of
78.         programs that contain their own versions of the syslog(3) subroutine.
79.         You may need to do significant extra work to compile those programs to
80.         use the vendor-supplied patches.
81.  
82.      B. Install sendmail version 8.7.1. 
83.  
84.         NOTE: This workaround addresses the syslog(3) vulnerability in 
85.               sendmail only. The vulnerability still exists in all other
86.               programs that use syslog(3). 
87.  
88.         When your vendor(s) provides a patch, we recommend that you rebuild
89.         sendmail version 8.7.1 with the patched syslog(3) and place that
90.         newly compiled version into service. 
91.         
92.         Sendmail is available by anonymous FTP from
93.  
94.         ftp://info.cert.org/pub/tools/sendmail/
95.         ftp://ftp.cs.berkeley.edu/ucb/sendmail/
96.         ftp://ftp.auscert.org.au/pub/mirrors/ftp.cs.berkeley.edu/ucb/sendmail/
97.         ftp://ftp.cert.dfn.de/pub/tools/net/sendmail/
98.  
99.         Checksum:
100.  
101.            MD5 (sendmail.8.7.1.tar.Z) = 4a66d07a059d1d5af5e9ea53ff1b396a
102.  
103.         Depending upon your currently installed sendmail program, switching to
104.         a different sendmail may require significant effort (such as rewriting
105.         the sendmail.cf file). See Section VI for additional notes on
106.         installation.  
107.  
108.         In addition, Sections IV and V below contain scripts for building
109.         sendmail 8.7.1 for SunOS 4.1.X and Solaris 2.X, respectively. 
110.  
111.      C. Install smrsh.
112.      
113.         To restrict the sendmail program mailer facility, install and
114.         use the sendmail restricted shell program (smrsh). We recommend
115.         that you do this regardless of whether you use the vendor's supplied
116.         sendmail or you install sendmail version 8.7.1.  
117.         
118.         Smrsh is now included in the sendmail 8.7.1 distribution in the 
119.         subdirectory smrsh. See the RELEASE_NOTES file for a description
120.         of how to integrate smrsh into your sendmail configuration file.
121.  
122.         Please note that although smrsh does not address the vulnerability
123.         described in this advisory, a description of smrsh is provided for
124.         completeness. We recommend that you install and use smrsh with *all*
125.         versions of sendmail. 
126.  
127. IV. Building this package for SunOS 4.1.X
128.  
129.     Here is a script that is given as an illustration of how to build
130.     sendmail 8.7.1 for SunOS 4.1.X. Please refer to READ_ME in the src
131.     subdirectory for a more complete explanation of other options available
132.     during the compilation process. 
133.  
134.     % uname -sr
135.     SunOS 4.1.2
136.     % ls
137.     sendmail.8.7.1.tar.Z
138.     % zcat sendmail.8.7.1.tar.Z | tar xf -
139.     % cd sendmail-8.7.1/src
140.     % ./makesendmail LIBS='-lresolv' DBMDEF='-DNDBM -DNIS' \
141.         INCDIRS= LIBDIRS= sendmail
142.       Configuration: os=SunOS, rel=4.1.2, rbase=4, arch=sun4, sfx=
143.       Creating obj.SunOS.4.1.2.sun4 using Makefile.SunOS
144.       Making dependencies in obj.SunOS.4.1.2.sun4
145.       Making in obj.SunOS.4.1.2.sun4
146.       ...
147.  
148.     See Section VI for final installation steps.
149.  
150. V.  Building this package for Solaris 2.X
151.  
152.     Here is a typescript that is given as an illustration for how to build
153.     sendmail 8.7.1 for Solaris 2.X. Note that this procedure assumes that
154.     you have the GNU gcc system. The examples below used gcc version 2.6.3.
155.     Again, please refer to READ_ME in the src sub-directory for a more
156.     complete explanation of other options available during the compilation
157.     process.
158.  
159.     % uname -sr
160.     SunOS 5.4
161.     % ls
162.     sendmail.8.7.1.tar.Z
163.     % zcat sendmail.8.7.1.tar.Z | tar xf -
164.     % cd sendmail-8.7.1/src
165.     % ./makesendmail LIBS='-lresolv -lsocket -lnsl -lelf' \
166.         INCDIRS= LIBDIRS= sendmail
167.       Configuration: os=SunOS, rel=5.4, rbase=5, arch=sun4, sfx=
168.       Creating obj.SunOS.5.4.sun4 using Makefile.SunOS.5.4
169.       Making dependencies in obj.SunOS.5.4.sun4
170.       ...
171.  
172.     Note: If you wish sendmail version 8.7.1 to use the aliases and
173.     configuration file directory conventions from SunOS 5.4, use the
174.     following command:
175.  
176.           ./makesendmail LIBS='-lresolv -lsocket -lnsl -lelf' \
177.             ENVDEF='-DSOLARIS=204 -DUSE_VENDOR_CF_PATH' INCDIRS= \
178.             LIBDIRS= sendmail
179.  
180. VI. Final Installation Notes
181.  
182.     Sendmail can then be installed and configured with new configuration
183.     files as needed. We strongly recommend that if you change to sendmail
184.     8.7.1, you also change to the configuration files that are provided with
185.     that version. 
186.  
187.     Significant work has been done to make this task easier. It is now
188.     possible to build a sendmail configuration file (sendmail.cf) using
189.     the configuration files provided with this release. Consult the
190.     cf/READ_ME file for a more complete explanation. We recommended that you
191.     create your configuration files using this method because it provides a
192.     technique for incorporating any future changes to sendmail into your
193.     configuration files. 
194.  
195.     In addition, we recommend that you recreate your configuration file
196.     (sendmail.cf) using the configuration files provided with 8.7.1.
197.  
198.     Finally, for Sun users, a paper is available to help you convert your
199.     sendmail configuration files from the Sun version of sendmail to one that
200.     works with version 8.7.1. The paper is entitled "Converting Standard Sun
201.     Config Files to Sendmail Version 8" and was written by Rick McCarty of
202.     Texas Instruments Inc. It is included in the distribution and is located
203.     in contrib/converting.sun.configs. 
204.  
205.  
206. ..............................................................................
207.  
208. Appendix A: Vendor Information
209.  
210. Below is information we have received from vendors concerning the
211. vulnerability described in this advisory. If you do not see your vendor's
212. name, please contact the vendor directly for information.
213.  
214. In addition to vendor information, note that the freely available Linux with
215. libc version 4.7.2, released May 1995, is not vulnerable.
216.  
217. - --------------------
218. Eric Allman
219.  
220. Neither sendmail version 8.7.3  nor 8.7.1 is vulnerable.  Sendmail is
221. available by anonymous FTP from
222.  
223.    ftp://info.cert.org/pub/tools/sendmail
224.    ftp://ftp.cs.berkeley.edu/ucb/sendmail
225.    ftp://ftp.auscert.org.au/pub/mirrors/ftp.cs.berkeley.edu/ucb/sendmail
226.    ftp://ftp.cert.dfn.de/pub/tools/net/sendmail
227.  
228. MD5 (sendmail.8.7.3.tar.Z) = 3c3891c92500d12d60a61aaa1d01b533
229.  
230. - --------------------
231. Berkeley Software Design, Inc.
232.  
233. Users of BSD/OS V2.0 and V2.0.1 by Berkeley Software Design, Inc. should
234. install patch U201-001 which works for both versions. The patch is available
235. to all BSDI customers in:  ftp://ftp.bsdi.com/bsdi/patches/ 
236.  
237. md5 checksum: 88b3fd8c83a5926589d7b87b55bc4e14 
238.  
239. - --------------------
240. Convex Computer Corporation
241.  
242. The CERT Coordination Center inadvertently omitted the Convex entry
243. from the original advisory:
244.  
245. Vulnerable:  ConvexOS (all releases)
246.              SPPUX (all releases)
247.  
248. A patch is being developed to address this vulnerability in currently
249. supported releases as detailed below.  Contact the Convex Technical
250. Assistance Center 1-800-952-0379 to obtain information and patches.
251.  
252. There are no known automated attack programs in existence for Convex or
253. SPP architectures.  Development of such a program would require access
254. to such a machine, as well as detailed knowledge of the architecture.
255. However, the only completely secure work-around at this time would be to
256. disable sendmail (known to have been successfully attacked on other
257. architectures), as well as other daemons which can potentially log
258. user-supplied strings.  Note that the user-supplied strings do not have
259. to actually be routed by syslogd in order for this vulnerability to
260. occur.  At this time we do not have a canonical list of affected
261. software; sendmail is the only known-vulnerable agent.
262.  
263. It should also be noted that Convex machines make use of a "SPU"
264. workstation (also referred to as a "test station") which controls the
265. machine; these workstations are vulnerable if sendmail is enabled on
266. those workstations and the SPU or test station is located on an
267. accessible network.  Convex recommends disabling sendmail on SPU and
268. test-station workstations until a patch can be obtained from Convex.
269.  
270. Currently supported OS releases as of Sep 1, 1995:
271.  
272.         ConvexOS 10.1, 10.2, 11.0, 11.1
273.         SPPUX    3.x
274.  
275. - --------------------
276. Cray Research
277.  
278. Information about fixes for the syslog problem can be found in FN #2011,
279. dated October 10, 1995. Customers should receive this information from 
280. their Cray Research service representative.
281.  
282. For all source installations, your Cray Research service representative can
283. obtain the fix via the getfix tool.
284.  
285. Due to the number of executables which use this library routine, it is not
286. possible to provide getfix packages for all binary installations. UNICOS
287. binary update packages 8.0.4.2 and 9.0.1.2 include this mod.
288.  
289.  FIX AVAILABILITY as of Feb. 1996
290.  --------------------------------
291.                          Release Level            Fix Package
292.  Affected Product        Containing Fix           Availability
293.  ================        ==============           ===========
294.  UNICOS 8.0             UNICOS 8.0.4.2 *         source only
295.  UNICOS 8.3             **                       source only
296.  UNICOS 9.0             UNICOS 9.0.1.2 ***       source only
297.  
298.  *   Released for all platforms.
299.  **  No more updates planned.
300.  *** Released for X-MP, Y-MP, C-90 and T-90 platforms but has not yet
301.      released for YMP-EL and J-90 platforms.
302.  
303.  
304. - --------------------
305. Data General Corporation
306.  
307.   The DG/UX operating system is NOT vulnerable to this problem.  This
308.   includes all currently supported release, DG/UX 5.4 Release 3.00, DG/UX 5.4
309.   Release 3.10, DG/UX Release 4.10 and all related Trusted DG/UX products.
310.  
311. - --------------------
312. Digital Equipment Corporation
313.  
314. For updated information, please refer to the Digital Equipment
315. Corporation Vendor Bulletin #96.0383, available in
316.  
317.          ftp://info.cert.org/pub/vendors/dec/dec_96.0383
318.  
319. Note:  Non-contract/non-warranty customers should contact
320.        local Digital support channels for information
321.        regarding these kits.
322.  
323. As always, Digital urges you to periodically review your system
324. management and security procedures. Digital will continue to review
325. and enhance the security features of its products and work with
326. customers to maintain and improve the security and integrity of their
327. systems.
328.  
329. - --------------------
330. Hewlett-Packard Company
331.  
332. Included below is information obtained from the February 7th, 1996,
333. Hewlett Packard Security Bulletin, HPSBUX9602-029 "Security
334. Vulnerability in HP-UX syslog(3) subroutine."
335.  
336. It has been found that all HP-UX systems prior to HP-UX 10.10 have
337. this vulnerability.
338.  
339. The vulnerability can be eliminated from releases 9.X and 10.0X of
340. HP-UX by applying a patch.  Releases of HP-UX prior to 9.X must
341. upgraded to release 9.X or higher to escape the vulnerability,
342. which is fixed in the HP-UX 10.10 release.  There are no work-around
343. solutions known.
344.  
345. Hewlett-Packard recommends that all customers concerned with the
346. security of their HP-UX systems either apply the appropriate
347. patch or change perform the actions described above as soon as
348. possible.
349.  
350. Hewlett Packard's HP-UX patches are available via email
351. and World Wide Web.
352.  
353. To obtain a copy of the HP SupportLine email service user's
354. guide, send the following in the TEXT PORTION OF THE MESSAGE to
355. support@us.external.hp.com (no Subject is required):
356.  
357.                       send guide
358.  
359. The users guide explains the process for downloading HP-UX
360. patches via email and other services available.
361.  
362. World Wide Web service for downloading of patches
363. is available via our URL:
364.  
365.                   (http://us.external.hp.com)
366.  
367.      Patches:
368.                  PHCO_6595 (series 700/800, HP-UX 10.0 & 10.01), or
369.                  PHCO_6598 (series 800, HP-UX 9.0 & 9.04), or
370.                  PHCO_6597 (series 700, HP-UX 9.0[1357]), or
371.                  PHCO_6224 (series 300/400, HP-UX 9.0, 9.01, 9.03 & 9.1), or
372.                  PHCO_6162 (series 700, HP-UX 9.08 BLS), or
373.                  PHCO_6161 (series 700, HP-UX 9.09 BLS), or
374.                  PHCO_6160 (series 700, HP-UX 9.09+ BLS), or
375.                  PHCO_6157 (series 700, HP-UX 10.09 BLS CMW).
376.  
377.  
378.      Availability:
379.              All patches are available now, except for the BLS patches,
380.              which will be available after 29 February, 1996.  Contact your
381.              FCO representative for patch availability.
382.  
383. Further details are provided in Hewlett-Packard Security Bulletin,
384. "HPSBUX9602-029 Security Vulnerability in HP-UX syslog(3) subroutine."
385.  
386. World Wide Web service for browsing of bulletins is available via
387. our URL:
388.                 http://us.external.hp.com
389.  
390.      Choose "Support news", then under Support news,
391.      Choose "Security Bulletins"
392.  
393. - -------------------
394. IBM Corporation
395.  
396.         Both fixes are now currently available. Please reference the
397.         following fixes:
398.         AIX 4.1 - IX53718
399.         AIX 3.2 - IX53358
400.  
401. - --------------------
402. Open Software Foundation
403.  
404. OSF cannot reproduce the security hole in OSF/1. However we have reproduced
405. the problem with syslog(3).  We have a fix for the syslog(3) problem. Support
406. customers should contact OSF for the fix. The fix will be included in the
407. OSF/1 R1.3.2 update release. 
408.  
409. - --------------------
410. The Santa Cruz Operation (SCO)
411.  
412. The "SCO Networking Maintenance Supplement for SCO OpenServer 5"
413. addresses the syslog() problem for all ELF binaries in the product.
414. This supplement is available in:
415.  
416.         ftp://ftp.sco.COM/Supplements/net100/
417.  
418. This includes all the standard network utilities that are often the
419. target of a syslog() attack, such as sendmail. The product also
420. includes a few COFF binaries that use syslog(). These binaries will
421. be corrected in an upcoming Supplement.
422.  
423. - --------------------
424. Silicon Graphics Inc.
425.  
426. Silicon Graphics released Security Advisory 19951001-01-P825 and patch 825
427. to address the specifics of CERT Advisory CA-95:13.  Please note that patch
428. 1146 (Security Advisory 19960203-01-P1146) supersedes patch 825.  This patch
429. addresses additional security problems in the "sendmail" program.
430. Please refer to SGI Advisory 19960203-01-P1146 for further information
431. on these additional security problems, and the location and checksums of
432. this patch.
433.  
434. Silicon Graphics has continued to investigate the 8lgm reported syslog
435. vulnerability.  A review of utilities supplied with the IRIX 5.3, 6.0, 6.0.1
436. and 6.1 environments that use syslog has been performed.  Silicon Graphics
437. has not discovered any syslog vulnerabilities in these utilities.
438.  
439. Past SGI Advisories and security patches can be obtained via
440. anonymous FTP from sgigate.sgi.com or its mirror, ftp.sgi.com.
441.  
442. - --------------------
443. Solbourne (Grumman)
444.  
445. Solbourne 2.5 is not vulnerable.
446.  
447. - --------------------
448. Sony Corporation
449.  
450. NEWS-OS 6.0.3 and 6.1 are not vulnerable.
451.  
452. - --------------------
453. Sun Microsystems, Inc.
454.  
455. SunOS 5.5 is not vulnerable.
456.  
457. Sun Microsystems has made the following patches available to address this
458. vulnerability:
459.  
460.         PATCH #     VERSION                 RELEASED
461.         ---------   -----------             ------------
462.         100891-13 - SunOS 4.1.3             Oct 27, 1995 (International)
463.         101558-07 - SunOS 4.1.3_U1          Oct 27, 1995 (International)
464.         102545-04 - SunOS 4.1.4             Nov 16, 1995 (International)
465.         100890-13 - SunOS 4.1.3             Feb 21, 1996 (US only)
466.         101759-04 - SunOS 4.1.3_U1          Feb 21, 1996 (US only)
467.         102544-04 - SunOS 4.1.4             Feb 21, 1996 (US only)
468.  
469.         102903-01 - Solaris 2.3             Nov  2, 1995
470.         101945-37 - Solaris 2.4             Feb. 29, 1996
471.         102905-01 - Solaris 2.4_x86         Nov  2, 1995
472.  
473. Note also that the following patches:
474.  
475.         100890-13 - SunOS 4.1.3             Feb 21, 1996 (US only)
476.         101759-04 - SunOS 4.1.3_U1          Feb 21, 1996 (US only)
477.         102544-04 - SunOS 4.1.4             Feb 21, 1996 (US only)
478.  
479. require that you contact your Sun Solution Center or other SunSoft
480. authorized service provider (ASP) in the U.S. to obtain a copy of the
481. actual patch.
482.  
483. Sun Security Bulletins are available via the security-alert alias
484. (security-alert@sun.com) and on SunSolve (http://sunsolve1.sun.com).
485.  
486. - ---------------------------------------------------------------------------
487. The CERT Coordination Center staff thanks Eric Allman and Wolfgang Ley for
488. their involvement in the development of this advisory, and thanks Karl
489. Strickland and Neil Woods for reporting the vulnerability.
490. - ---------------------------------------------------------------------------
491.  
492. If you believe that your system has been compromised, contact the CERT
493. Coordination Center or your representative in the Forum of Incident
494. Response and Security Teams (FIRST).
495.  
496. If you wish to send sensitive incident or vulnerability information to
497. CERT staff by electronic mail, we strongly advise that the email be
498. encrypted.  The CERT Coordination Center can support a shared DES key, PGP
499. (public key available via anonymous FTP on info.cert.org), or PEM (contact
500. CERT staff for details).
501.  
502. Internet email: cert@cert.org
503. Telephone: +1 412-268-7090 (24-hour hotline)
504.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
505.            and are on call for emergencies during other hours.
506. Fax: +1 412-268-6989
507.  
508. Postal address:  CERT Coordination Center
509.                  Software Engineering Institute
510.                  Carnegie Mellon University
511.                  Pittsburgh, PA 15213-3890
512.                  USA
513.  
514. CERT advisories and bulletins are posted on the USENET newsgroup
515. comp.security.announce. If you would like to have future advisories and
516. bulletins mailed to you or to a mail exploder at your site, please send mail
517. to cert-advisory-request@cert.org.
518.  
519. Past CERT publications, information about FIRST representatives, and other
520. information related to computer security are available for anonymous  
521. FTP from info.cert.org. 
522.  
523.  
524. Copyright 1995, 1996 Carnegie Mellon University
525. This material may be reproduced and distributed without permission provided it
526. is used for noncommercial purposes and the copyright statement is included.
527.  
528. CERT is a service mark of Carnegie Mellon University.
529.  
530. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
531. Revision history
532.  
533. Aug. 30, 1996  Information previously in the README was inserted
534.                into the advisory.
535. July 05, 1996  Appendix, Digital- Added pointer to updated information.
536. July 01, 1996  Appendix, SGI - Added additional information
537. Apr. 17, 1996  Appendix, SCO - Added an entry for SCO
538. Mar. 29, 1996  Appendix, Sun - Modified the Sun entry
539. Feb. 27, 1996  Appendix, Hewlett-Packard & Sun - Updated entries
540. Feb. 06, 1996  Appendix, Allman & Cray - Updated entries
541. Dec. 19, 1995  Appendix, Digital -  Modified Digital entry
542. Nov. 07, 1995  Appendix, IBM, SGI, Sun - Updated entries
543. Nov. 07, 1995  Sec. III.C - Added note recommending smrsh though it doesn't
544.                 address the particular vulnerability described in the advisory
545. Oct. 27, 1995 - Appendix, Convex, Data General Hewlett-Packard, IBM - Added
546.                 text 
547.  
548.  
549.  
550.  
551.  
552.  
553.  
554.  
555.  
556.  
557.  
558.  
559.  
560. -----BEGIN PGP SIGNATURE-----
561. Version: 2.6.2
562.  
563. iQCVAwUBMiS6lnVP+x0t4w7BAQFeUQQAmO/MePbIdKdXPk2/2qQPo035/8/2D3ip
564. etUicWIwTrBnl1OI++bsbdfG7fYvEhdRwkiPex4v4ChdfYHW9zFnQbTnH7xAWpKD
565. MTocREXcZXzyt7uZYE96wK3g/KEni3DD8crt/bP/zg8UnocG1bagRgQiI0NwuiHb
566. 96BvRTBHHiM=
567. =4P+u
568. -----END PGP SIGNATURE-----
569.