home *** CD-ROM | disk | FTP | other *** search
/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9702 < prev    next >
PGP Signed Message  |  1997-02-28  |  9KB  |  244 lines
  1. -----BEGIN PGP SIGNED MESSAGE-----
  2.  
  3. =============================================================================
  4. CERT(sm) Advisory CA-97.02
  5. Original issue date: January 7, 1997
  6. Last revised: January 14, 1997 - Updates - added patch information.
  7.  
  8. Topic: HP-UX newgrp Buffer Overrun Vulnerability
  9. - -----------------------------------------------------------------------------
  10.  
  11.    The text of this advisory was originally released on December 3, 1996, as
  12.    AA-96.16.HP-UX.newgrp.Buffer.Overrun.Vulnerability, developed by
  13.    AUSCERT. Because of the seriousness of the problem, we are reprinting the
  14.    AUSCERT advisory here with their permission. Only the contact information
  15.    at the end has changed: AUSCERT contact information has been replaced with
  16.    CERT/CC contact information.
  17.  
  18.    We will update this advisory as we receive additional information.
  19.    Look for it in an "Updates" section at the end of the advisory.
  20.  
  21. ===========================================================================
  22.  
  23. AUSCERT has received information that a vulnerability exists in the
  24. newgrp(1) program under HP-UX 9.x and 10.x.
  25.  
  26. This vulnerability may allow local users to gain root privileges.
  27.  
  28. Exploit information involving this vulnerability has been made publicly
  29. available.
  30.  
  31. Currently there are no vendor patches available that address this
  32. vulnerability.  AUSCERT recommends that sites take the steps outlined in
  33. section 3 as soon as possible.
  34.  
  35. This advisory will be updated as more information becomes available.
  36. - ----------------------------------------------------------------------------
  37.  
  38. 1.  Description
  39.  
  40.     AUSCERT has received information that a vulnerability exists in the
  41.     HP-UX newgrp(1) program.  The newgrp command is used to change a users
  42.     group identification, and is installed by default.
  43.  
  44.     Due to insufficient bounds checking on arguments which are supplied
  45.     by users, it is possible to overwrite the internal stack space of the
  46.     newgrp program while it is executing.  By supplying a carefully
  47.     designed argument to the newgrp program, intruders may be able to
  48.     force newgrp to execute arbitrary commands.  As newgrp is setuid
  49.     root, this may allow intruders to run arbitrary commands with root
  50.     privileges.
  51.  
  52.     This vulnerability is known to affect both HP-UX 9.x and 10.x.
  53.  
  54.     By default, newgrp is located in /bin under HP-UX 9.x and in
  55.     /usr/bin under HP-UX 10.x.
  56.  
  57.     Exploit information involving this vulnerability has been made
  58.     publicly available.
  59.  
  60. 2.  Impact
  61.  
  62.     Local users may gain root privileges.
  63.  
  64. 3.  Workarounds/Solution
  65.  
  66.     AUSCERT recommends that sites limit the possible exploitation of this
  67.     vulnerability by immediately removing the setuid permissions as stated
  68.     in Section 3.1.  If the newgrp command is required, AUSCERT recommends
  69.     the newgrp wrapper program given in Section 3.2 be installed.
  70.  
  71.     AUSCERT recommends that official vendor patches be installed when
  72.     they are made available.  See the Updates section for information
  73.     about availability of patches.
  74.  
  75. 3.1 Remove setuid and non-root execute permissions
  76.  
  77.     To prevent the exploitation of the vulnerability described in the
  78.     advisory, AUSCERT recommends that the setuid permissions be removed from
  79.     the newgrp program immediately.  As the newgrp program will no
  80.     longer work for non-root users, it is recommended that the execute
  81.     permissions also be removed.  Before doing so, the original permissions
  82.     for newgrp should be noted as they will be needed if sites choose to
  83.     install the newgrp wrapper program (Section 3.2).
  84.  
  85.     For HP-UX 9.x:
  86.  
  87.         # ls -l /bin/newgrp
  88.         -r-sr-xr-x   1 root     sys        16384 Dec  2 13:45 /bin/newgrp
  89.  
  90.         # chmod 500 /bin/newgrp
  91.         # ls -l /bin/newgrp
  92.         -r-x------   1 root     sys        16384 Dec  2 13:45 /bin/newgrp
  93.  
  94.     For HP-UX 10.x:
  95.  
  96.         # ls -l /usr/bin/newgrp
  97.         -r-sr-xr-x   1 root     sys        12288 Dec  2 13:27 /usr/bin/newgrp
  98.  
  99.         # chmod 500 /usr/bin/newgrp
  100.         # ls -l /usr/bin/newgrp
  101.         -r-x------   1 root     sys        12288 Dec  2 13:27 /usr/bin/newgrp
  102.  
  103.     Note that this will remove the ability for any non-root user to run the
  104.     newgrp program.
  105.  
  106. 3.2 Install newgrp wrapper
  107.  
  108.     AUSCERT has developed a wrapper to help prevent programs from being
  109.     exploited using the vulnerability described in this advisory.  This
  110.     wrapper, including installation instructions, can be found at:
  111.  
  112.         ftp://ftp.auscert.org.au/pub/auscert/tools/overflow_wrapper.c
  113.  
  114.     This replaces the newgrp program with a wrapper which checks the
  115.     length of the command line arguments passed to it.  If an argument
  116.     exceeds a certain predefined value (MAXARGLEN), the wrapper exits
  117.     without executing the newgrp command.  The wrapper program can also
  118.     be configured to syslog any failed attempts to execute newgrp with
  119.     arguments exceeding MAXARGLEN.  For further instructions on using
  120.     this wrapper, please read the comments at the top of overflow_wrapper.c.
  121.  
  122.     When compiling overflow_wrapper.c for use with HP-UX newgrp, AUSCERT
  123.     recommends defining MAXARGLEN to be 16.
  124.  
  125.     The MD5 checksum for Version 1.0 of overflow_wrapper.c is:
  126.  
  127.         MD5 (overflow_wrapper.c) = f7f83af7f3f0ec1188ed26cf9280f6db
  128.  
  129.     AUSCERT recommends that until vendor patches can be installed, sites
  130.     requiring the newgrp functionality apply this workaround.
  131.  
  132. - ----------------------------------------------------------------------------
  133. AUSCERT thanks Hewlett-Packard for their continued assistance and technical
  134. expertise essential for the production of this advisory.  AUSCERT also
  135. thanks Information Technology Services of the University of Southern
  136. Queensland for their assistance.
  137. - ----------------------------------------------------------------------------
  138.  
  139. If you believe that your system has been compromised, contact the CERT
  140. Coordination Center or your representative in the Forum of Incident
  141. Response and Security Teams (FIRST).
  142.  
  143. We strongly urge you to encrypt any sensitive information you send by email.
  144. The CERT Coordination Center can support a shared DES key and PGP. Contact
  145. the CERT staff for more information.
  146.  
  147. Location of CERT PGP key
  148.          ftp://info.cert.org/pub/CERT_PGP.key
  149.  
  150. CERT Contact Information
  151. - ------------------------
  152. Email    cert@cert.org
  153.  
  154. Phone    +1 412-268-7090 (24-hour hotline)
  155.                 CERT personnel answer 8:30-5:00 p.m. EST
  156.                 (GMT-5)/EDT(GMT-4), and are on call for
  157.                 emergencies during other hours.
  158.  
  159. Fax      +1 412-268-6989
  160.  
  161. Postal address
  162.         CERT Coordination Center
  163.         Software Engineering Institute
  164.         Carnegie Mellon University
  165.         Pittsburgh PA 15213-3890
  166.         USA
  167.  
  168. CERT publications, information about FIRST representatives, and other
  169. security-related information are available for anonymous FTP from
  170.         http://www.cert.org/
  171.         ftp://info.cert.org/pub/
  172.  
  173. CERT advisories and bulletins are also posted on the USENET newsgroup
  174.         comp.security.announce
  175.  
  176. To be added to our mailing list for CERT advisories and bulletins, send your
  177. email address to
  178.         cert-advisory-request@cert.org
  179.  
  180.  
  181. CERT is a service mark of Carnegie Mellon University.
  182.  
  183. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.02.hp_newgrp
  184.            http://www.cert.org
  185.                click on "CERT Advisories"
  186.  
  187. =============================================================================
  188. UPDATES
  189.  
  190. All HP patches are now available, see HEWLETT-PACKARD SECURITY BULLETIN:
  191. #00048, issued on 09 January 1997:
  192.  
  193.           PHCO_9603  for all platforms with HP-UX releases 9.X
  194.           PHCO_9604  for all platforms with HP-UX releases 10.00/10.01
  195.           PHCO_9605  for all platforms with HP-UX releases 10.10/10.20
  196.  
  197.    Fixing the problem
  198.  
  199.       The vulnerability can be eliminated from HP-UX releases 9.X and
  200.       10.X by applying the appropriate patch.
  201.  
  202.    Recommended solution
  203.  
  204.       1.  Determine which patch are appropriate for your operating
  205.           system.
  206.  
  207.       2.  Hewlett-Packard's HP-UX patches are available via email
  208.           and the World Wide Web
  209.  
  210.           To obtain a copy of the Hewlett-Packard SupportLine email
  211.           service user's guide, send the following in the TEXT PORTION
  212.           OF THE MESSAGE to support@us.external.hp.com (no Subject
  213.           is required):
  214.  
  215.                                send guide
  216.  
  217.           The users guide explains the HP-UX patch downloading process
  218.           via email and other services available.
  219.  
  220.           World Wide Web service for downloading of patches
  221.           is available via our URL:
  222.                   (http://us.external.hp.com)
  223.  
  224.       3.  Apply the patch to your HP-UX system.
  225.  
  226.       4.  Examine /tmp/update.log (9.X), or /var/adm/sw/swinstall.log
  227.           (10.X), for any relevant WARNING's or ERROR's.
  228.  
  229.  
  230. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  231. Revision history
  232.  
  233. Jan. 14, 1997  Updates - added patch information.
  234.  
  235. -----BEGIN PGP SIGNATURE-----
  236. Version: 2.6.2
  237.  
  238. iQCVAwUBMtv/F3VP+x0t4w7BAQGp5gP+P6vsw+4pMp8zw3fkP6wptg5Ykc0ohF0V
  239. EKE+rQKcQZrIA8JnDWVCVZty9UgINq0XQwwUIlIp1cATYeQDmqCcU5c88Kci/dWa
  240. J9y44H+Rknr9t7ZJZYU6jcIZkDTju0keKk6qVlr3XLCk0xSafebON7VHMti3ysK8
  241. cWvpma/t/34=
  242. =vhP3
  243. -----END PGP SIGNATURE-----
  244.