home *** CD-ROM | disk | FTP | other *** search

---

/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9610

< prev

next >

Wrap

PGP Signed Message  |  1997-02-28  |  14KB  |  344 lines

---

1. -----BEGIN PGP SIGNED MESSAGE-----
2.  
3. =============================================================================
4. CERT(sm) Advisory CA-96.10                     
5. Original issue date: May 28, 1996
6. Last revised: August 30, 1996
7.               Information previously in the README was inserted
8.               into the advisory.
9.  
10.               A complete revision history is at the end of this file.
11.  
12. Topic:  NIS+ Configuration Vulnerability
13. - -----------------------------------------------------------------------------
14.  
15.    The text of this advisory was originally released by the Australian
16.    Emergency Response Team on May 20, 1996, and updated on May 27, 1996, as
17.    AUSCERT advisory AA-96.02a.
18.  
19.    Because of the seriousness of the problem, we are reprinting the AUSCERT
20.    advisory here with their permission. Only the contact information at the
21.    end has changed: AUSCERT contact information has been replaced with
22.    CERT/CC contact information. 
23.  
24.    We will update this advisory as we receive additional information.
25.    Please check advisory files regularly for updates that relate to your site.
26.  
27. =============================================================================
28.  
29. AUSCERT has received information that a vulnerability exists under some
30. configurations of NIS+.  In vulnerable installations of NIS+, the access
31. rights on the NIS+ passwd table are left in an unsecure state.
32.  
33. This vulnerability is known to exist in NIS+ installations initially created
34. on Solaris 2.5 servers.  Similar vulnerabilities in NIS+ configurations may
35. also exist in previous versions of Solaris 2.
36.  
37. This vulnerability may allow any user with valid NIS+ credentials to gain
38. root privileges.
39.  
40. AUSCERT recommends that any site which has NIS+ installed take this
41. opportunity to check their installations and apply the appropriate 
42. workarounds as described in Section 3.
43.  
44. ** This updated advisory contains clarifications for sites requiring password
45. ** aging facilities and sites running their NIS+ servers in NIS compatibility
46. ** mode.
47.  
48. - -----------------------------------------------------------------------------
49.  
50. 1.  Description
51.  
52.     NIS+ provides distributed network access to information sources such as
53.     password, group and host information.  It maintains this information in
54.     the form of NIS+ tables.  NIS+ tables contain the administrative
55.     information normally supplied by local files (such as /etc/passwd).  As
56.     with the standard Unix administration files, setting secure permissions
57.     on the NIS+ tables is of utmost importance in maintaining system 
58.     security.
59.  
60.     NIS+ provides a comprehensive set of access rights for NIS+ tables.  This
61.     includes permissions not only on NIS+ tables but also individual columns
62.     and entries in those tables.  Due to the added complexity, sites need to
63.     be particularly diligent in ensuring that permissions on NIS+ tables (and
64.     associated entries and columns) are secure.
65.  
66.     AUSCERT encourages sites running NIS+ to gain a good understanding of
67.     the permission model used by NIS+.  A complete description may be found
68.     in the NIS+ documentation set.  The rest of this advisory assumes a good
69.     understanding of NIS+ permission controls.
70.  
71.     AUSCERT has received information that under some installations of NIS+
72.     the permissions on the NIS+ passwd table are left in an unsecure state.
73.  
74.     This vulnerability is known to exist in NIS+ installations initially
75.     created on Solaris 2.5 servers.  Similar vulnerabilities in NIS+
76.     configurations may also exist in previous versions of Solaris 2.
77.  
78. 2.  Impact
79.  
80.     Any user with login access to a client or server that uses NIS+ for
81.     authentication may gain root privileges.
82.  
83. 3.  Workarounds
84.  
85.     NIS+ uses an access control mechanism for granting access to NIS+ tables
86.     which is similar (but not identical) to that used by the standard Unix
87.     file system.  NIS+ tables are assigned permissions for the NIS+ user
88.     categories nobody, owner, group and world.  NIS+ also has permissions
89.     associated with columns and individual entries in NIS+ tables.
90.  
91.     Under some installations of NIS+ the permissions of the NIS+ passwd
92.     table and its columns are left in an unsecure state.  These permissions
93.     can be viewed using niscat(1).
94.  
95.     To check the permissions on the NIS+ passwd table, sites can use:
96.  
97.     # niscat -o passwd.org_dir
98.  
99.     This should produce output similar to:
100.  
101. Object Name   : passwd
102. Owner         : myhost.mydomain.org.
103. Group         : admin.mydomain.org.
104. Domain        : org_dir.mydomain.org.
105. Access Rights : ----rmcdrmcd----
106. Time to Live  : 12:0:0
107. Object Type   : TABLE
108. Table Type          : passwd_tbl
109. Number of Columns   : 8
110. Character Separator : :
111. Search Path         :
112. Columns             :
113.         [0]     Name          : name
114.                 Attributes    : (SEARCHABLE, TEXTUAL DATA, CASE SENSITIVE)
115.                 Access Rights : r---------------
116.         [1]     Name          : passwd
117.                 Attributes    : (TEXTUAL DATA)
118.                 Access Rights : -----m----------
119.         [2]     Name          : uid
120.                 Attributes    : (SEARCHABLE, TEXTUAL DATA, CASE SENSITIVE)
121.                 Access Rights : r---------------
122.         [3]     Name          : gid
123.                 Attributes    : (TEXTUAL DATA)
124.                 Access Rights : r---------------
125.         [4]     Name          : gcos
126.                 Attributes    : (TEXTUAL DATA)
127.                 Access Rights : r---------------
128.         [5]     Name          : home
129.                 Attributes    : (TEXTUAL DATA)
130.                 Access Rights : r---------------
131.         [6]     Name          : shell
132.                 Attributes    : (TEXTUAL DATA)
133.                 Access Rights : r---------------
134.         [7]     Name          : shadow
135.                 Attributes    : (TEXTUAL DATA)
136.                 Access Rights : ----------------
137.  
138.     This output shows two types of access rights associated with the NIS+
139.     passwd table.  First, the default access rights for the table, which are
140.     given at the start of the output (----rmcdrmcd----).  Second,  the access
141.     rights associated with each column.
142.  
143.     In particular, sites should check the access rights on the columns of
144.     the NIS+ passwd table.  It should be noted that it appears that individual
145.     entries of the passwd table are owned by individual users.  The above
146.     access rights do not allow a user to modify any part of their passwd
147.     table entry besides their own passwd field.  For many environments this
148.     is acceptable.  
149.  
150.     However, depending on the local site configuration and requirements,
151.     additional access rights may also be needed.
152.  
153.     - Sites that wish users to be able to change their shell or gcos
154.     information may have the (m)odify bit set for owner on the shell or gcos
155.     column as needed.
156.  
157.     - Sites that have their NIS+ servers running in NIS compatibility
158.     mode to serve NIS clients may require (r)ead permission for nobody on the
159.     NIS+ passwd table.
160.  
161.     - Sites that are using password aging may require additional access
162.     rights on the shadow column.  The exact access rights will depend on the
163.     particular NIS+ version (including patches).  Sites are encouraged to
164.     check their local documentation for more information.
165.  
166.     Other than this, the access rights on columns should appear as shown in
167.     the niscat(1) output above.
168.  
169.     Any additional access rights on the table or its columns besides those
170.     shown above may allow a user to gain additional privileges, including
171.     possibly root.  Sites should completely understand the ramifications if
172.     they allow additional access rights.
173.  
174.     Sites may set the access rights on the NIS+ passwd table, as shown in the
175.     above output, by issuing the following commands as root on the master 
176.     NIS+ server.
177.  
178.     To set the default access rights for the NIS+ passwd table:
179.  
180.         # nischmod na-rmcd,og+rmcd passwd.org_dir
181.  
182.     To set the column access rights on the NIS+ passwd table:
183.  
184.         # nistbladm -u name=na-rmcd,n=r passwd.org_dir
185.         # nistbladm -u passwd=na-rmcd,o=m passwd.org_dir
186.         # nistbladm -u uid=na-rmcd,n=r passwd.org_dir
187.         # nistbladm -u gid=na-rmcd,n=r passwd.org_dir
188.         # nistbladm -u gcos=na-rmcd,n=r passwd.org_dir
189.         # nistbladm -u home=na-rmcd,n=r passwd.org_dir
190.         # nistbladm -u shell=na-rmcd,n=r passwd.org_dir
191.         # nistbladm -u shadow=na-rmcd passwd.org_dir
192.  
193.     After making any changes in access rights, AUSCERT recommends that sites
194.     verify the changes they have made using niscat(1), as shown previously.
195.  
196.     Sites that have replica NIS+ servers may use nisping(1m) to propagate
197.     the changes to the replica servers in a timely manner.
198.  
199. 4.  Additional measures
200.  
201.     AUSCERT recommends that sites take this opportunity to ensure that all
202.     NIS+ tables have access rights in accordance with the local site security
203.     policy.  This also includes checking access rights on all the columns
204.     and entries of the NIS+ tables in addition to the default access rights
205.     of the tables themselves.
206.  
207. - -----------------------------------------------------------------------------
208. AUSCERT wishes to thank Ivan Angus and David Clarke of ANU for reporting this
209. vulnerability and for their advice in the preparation of this advisory.
210. AUSCERT also acknowledges Marek Krawus of UQ,  Reinhard Uebel and Mark
211. McPherson of QTAC for their assistance.
212. - -----------------------------------------------------------------------------
213.  
214. The AUSCERT team have made every effort to ensure that the information
215. contained in this document is accurate.  However, the decision to use the
216. information described is the responsibility of each user or organisation.
217. The appropriateness of this document for an organisation or individual system
218. should be considered before application in conjunction with local policies
219. and procedures.  AUSCERT takes no responsibility for the consequences of
220. applying the contents of this document.
221.  
222. =============================================================================
223.  
224. CERT Contact Information
225. - ------------------------
226.  
227. If you believe that your system has been compromised, contact the CERT
228. Coordination Center or your representative in the Forum of Incident
229. Response and Security Teams (FIRST).
230.  
231. We strongly urge you to encrypt any sensitive information you send by email.
232. The CERT Coordination Center can support a shared DES key and PGP. Contact 
233. the CERT staff for more information. 
234.  
235. Location of CERT PGP key
236.          ftp://info.cert.org/pub/CERT_PGP.key
237.  
238.  
239. Email    cert@cert.org
240.  
241. Phone    +1 412-268-7090 (24-hour hotline)
242.                 CERT personnel answer 8:30-5:00 p.m. EST
243.                 (GMT-5)/EDT(GMT-4), and are on call for
244.                 emergencies during other hours.
245.  
246. Fax      +1 412-268-6989
247.  
248. Postal address
249.         CERT Coordination Center
250.         Software Engineering Institute
251.         Carnegie Mellon University
252.         Pittsburgh PA 15213-3890
253.         USA
254.  
255. CERT publications, information about FIRST representatives, and other
256. security-related information are available for anonymous FTP from
257.         http://www.cert.org/
258.         ftp://info.cert.org/pub/
259.  
260. CERT advisories and bulletins are also posted on the USENET newsgroup
261.         comp.security.announce
262.  
263. To be added to our mailing list for CERT advisories and bulletins, send your
264. email address to
265.         cert-advisory-request@cert.org
266.  
267.  
268. Copyright 1996 Carnegie Mellon University
269. This material may be reproduced and distributed without permission provided
270. it is used for noncommercial purposes and the copyright statement is 
271. included.
272.  
273. CERT is a service mark of Carnegie Mellon University.
274.  
275. ==============================================================================
276. UPDATES
277.  
278. CERT/CC received information concerning an additional problem with the
279. ROW access rights in the NIS+ password table.  Accounts created on
280. Solaris 2.4 and 2.5 systems have excessive rights on the system.
281. These new super accounts have read, modify, create, and delete access
282. rights on their own rows in the nisplus password table.  This means
283. they can alter all attributes on their own entries.
284.  
285. To determine if your system is so affected, execute the following:
286.  
287.         % niscat -o '[name=juke],passwd.org_dir' | egrep "Access"
288.  
289. If the output displays information similar to the following:
290.  
291.           Access Rights : ----rmcdr---r---
292.                               ^^^^
293. then the owner can read, modify, change, and delete information.
294.  
295. The rights at this level should be more restrictive, and the individual rights
296. on entries should be less restrictive.  The less restrictive rights on entries
297. allow a user to change their password entry, the GECOS field, and even the
298. shell depending upon how the entry rights are set.
299.  
300. The output from the niscat above should look like the following:
301.  
302.           Access Rights : ----r-----------
303.  
304. This allows only the user to read information from the password table.
305.  
306. One way to determine which entries in the password table need to be changed is
307. the following:
308.  
309.         % niscat -o '[ ],passwd.org_dir' | egrep "Owner|rmc"
310.  
311. To fix the entries, use the following:
312.  
313.           % nischmod o=r,ngw-rmdc '[ ],passwd.org_dir'
314.  
315. This sets the owner permissions to r (read) and removes all permissions from
316. nobody, group, and world.
317.  
318. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
319. Revision history
320.  
321. Aug. 30, 1996  Information previously in the README was inserted into the
322.                advisory.
323.                Beginning of the advisory - removed AUSCERT advisory header
324.                to avoid confusion.
325. June 12, 1996  Updates section - added clarification concerning ROW access
326.                rights.
327.  
328.  
329.  
330.  
331.  
332.  
333.  
334.  
335. -----BEGIN PGP SIGNATURE-----
336. Version: 2.6.2
337.  
338. iQCVAwUBMiTCFnVP+x0t4w7BAQGCNgP9HzQyAGwZKH0XxXctYdq6u+9I9QPkAmG9
339. BGpgug7ZFcL1P+9R/M+1yOCMS4UScwiTeaeT3iMb0uCXeKmEUtC526uv7eLqb1RA
340. GeT8+BAkAym943l/LOpnfmUJgCWHKv39DZJXUym5SWM9BpDwPW+u0eIsoycNuhWZ
341. Qa5aDuncx7o=
342. =GFo0
343. -----END PGP SIGNATURE-----
344.