WinPmail vazne narusuje bezpecnost Novell netware

From: Dan Lukes <LUKES@PORT.TROJA.MFF.CUNI.CZ>
Subject: WinPmail vazne narusuje bezpecnost Novell netware
Date: Sat, 6 Jan 1996 18:34:38 MET-1DST

Next Article (by Date): Re: diakritika apod. Jiri Kvarda
Previous Article (by Date): Re: diakritika apod. Vaclav Trojan
Articles sorted by: [Date] [Author] [Subject]

------------------------------------------------------------------
Tato zprava je urcena pouze spravcum systemu Novell Netware a to jen tem,
kteri na sve siti pouzivaji WinPmail. Obsahuje informace o vaznem naruseni
bezpecnostnich mechanismu Netware timto produktem. Ostatnim se omlouvam.
------------------------------------------------------------------
 
    Vazeni,
 
    Nize uvedenou situaci jsem zkousel pouze na versi 2.22,  nicmene je
pravdepodobne, ze stejnou chybou trpi vsechny verse 2.x. Jedna se tedy
velmi vaznou situaci. Navic jsem tlacen casem a nemam cas se tim zabyvat
takze doufam, ze jsem neco neprehledl.
 
    Jak jiste vite, WinPmail podporuje "Extensions", coz jsou externi .DLL
moduly, ktere rozsiruji jeho funkcnost. Kazdy takovy modul je systemu
WinPmailu predstaven pomoci .FFF souboru. .FFF i .DLL soubory jsou
vyhledavany v adresari, ve kterem je WinPmail.exe, v MAIL-adresari uzivatele
a take v adresari specifikovanem environmentovou promenou FFF. Uvedomte si
ale, ze do mail-adresare ma kazdy pravo "Create" a tedy i to vaseho
mail adresare muze kdokoli vlozit .FFF i .DLL soubor, ktery se po vasem
pristim spusteni WinPMAILu provede. Mozne dusledky si jiste domyslite sami.
    O neco mensi nebezpeci je i v tom, ze pokud na pocitaci pracuje vice
uzivatelu muze zustat (zamerne?) nastavena env. promenna FFF a nasledujici
uzivatel je ohrozen obdobnym zpusobem.
 
    Vzhledem k tomu, ze tuto zpravu si pravdepodobne prectou nejen spravci
ohrozenych siti ale i hackeri je vhodne jednat okamzite, pripadne informovat
sve zname spravce, kteri unikli z pusobnosti teto informace ...
 
    Autora jsem o teto situaci jiz informoval.
 
    Doufam, ze se mi, vzhledem k nedostatku casu na dukladne pokusy
nepodarilo vytvorit famu ...
 
                                    S pozdravem,
 
                                               Dan Lukes
 
P.S. omlouvam se tem adresatum, ktere jsem kvuli omezene delce "To:" vlozil
do "CC:"
 
Dan Lukes, Patkova 3/B1206, Praha 8, Czech Republic
tel +42-(2)-8551040 ext 776, E-Mail: LUKES(or Postmaster)@Menza.MFF.CUNI.CZ

Next Article (by Date): Re: diakritika apod. Jiri Kvarda
Previous Article (by Date): Re: diakritika apod. Vaclav Trojan
Articles sorted by: [Date] [Author] [Subject]

Go to listserv.cesnet.cz LWGate Home Page.