Tento soubor stál u zrodu skupiny SERT (více v textu SERT). Napsal ho Pajkus 25. března 1996.
JAHODOVY SIRUP SECURITY ADVISORY - 25 March 1996
Sirup Emergency Reaction Team (sert@sert.org)
Mon, 25 Mar 1996 00:51:21 -0700
Message-Id: <9603172340.AA02237@sert.org>
X-Sender: 6886@jahoda.sert.org
X-Mailer: Windows Eudora Pro Version 2.1.2 for Syrup Experts
Mime-Version: 1.0
To: (Recipient list suppressed)
From: Sirup-Security-Expert-Team
Subject: BoS: JAHODOVY SIRUP SECURITY ADVISORY - 25 March 1996
Sender: owner-best-of-sirup-security@suburbia.net
Content-Type: text/plain; charset=us-ascii
Content-Length: 55291
Status: RO
=== SIRUP ADVISORY: 25 Marec 1996 ===
Volna Distribucia tohoto Sirup Security Advisory je povolena.
Toto upozornenie #14 je archivovane SERT teamom na :
ftp.sert.org:/pub/security/sirup/Sirup-Advisory.#14.25-Mar-1996
Toto Upozornenie tykajuce sa bezpecnosti Sirupov bolo poslane na nasledovne
mailing listy a newsgroupy:
SIRUPTRAQ (siruptraq@crimelab.com)
SERT (Sirup Emergency Response Team, sert@sert.org)
food.security.sirup (newsgroup)
food.administration.sirup (newsgroup)
============================
Jahodovy sirup Bug & Exploit
============================
SYNOPSIA: Tento bug umozni uzivatelom ziskat neziaduce privilegia a poskodit
system jahodoveho sirupu pred jeho zakupenim a uzivanim.
VERZIE SYSTEMOV: O tychto systemoch je zname ze su napadnutelne spomenutym
bugom:
- Jahodovy sirup, v.1.00-litrove balenie s obrazkom Rumcajza pod Jedlickou
od vyrobcu Karpatia a.s., Prievidza.
- Jahodovy sirup, v.0.70-litrove balenie s obrazkom Rumcajza pod Jedlickou
od vyrobcu Karpatia a.s., Prievidza.
Nevylucuje sa moznost napadnutelnosti inych verzii a systemov ale toto su v
sucastnosti jedine overene verzie. Nas bezpecnostny team v sucasnej dobe
skuma moznost napadnutelnosti inych verzii a prichuti sirupov.
EXPLOIT: Z bezpecnostnych dovodov bude presny postup na exploit tohoto bugu
zverejneny az dva tyzdne po vypracovani dokladneho patch-u na vyssie
spomenute dve verzie jahodoveho sirupu.
DESCRIPTION: Tieto dve verzie jahodoveho sirupu su distribuovane so suid
vrchnakom. Pri pozornom studiu jahodoveho sirupu si vsimnete ze sirupova
flasa ma pri uzaveri bezpecnostnu ochranu z plastikoveho obalu. Vsimnite si
ze tento plastikovy obal pokryva cely vrchnak a taktiez uzavieraci system
sirupovej flase. Pozornemu uzivatelovi sirupu urcite neujde dolezity fakt,
ze na to aby tento plastikovy obal pokryvajuci vrchnak flase bol funkcny,
musi byt odstraneny jedine pri prvom otvarani a pouziti jahodoveho sirupu.
Avsak nas team sirup-expertov zistil, ze ak uzivatel pevne uchopi cely
vrchnak flase aj s plastikovym obalom do ruky a opatrne ho odkruti, je mozne
dosiahnut otvorenie sirupovej flase bez porusenia ochranneho plastikoveho
obalu. Tym bude mat uzivatel kompletne cely otvaraci mechanizmus sirupu v
ruke a tym aj kontrolu nad celym sladkym sirupovym systemom.
Po takto ziskanych sirupovych-systemovych privilegiach moze uzivatel vlozit
do sirupu ihle, spendliky a ine predmety odborne zvane trojske kone, alebo
cerviky, dazdovky a ine organizmy nazyvane virusy. Potom moze naspat
bezpecne uzavriet vrchnak jahodoveho sirupu bez porusenia jeho plastikoveho
obalu. Vynaliezavost takych podvratnych individui ako sirupovych hackerov je
zial znama z viacerych pripadov v minulosti, kedy doslo k infiltracii sirupov.
Budeme Vas priebezne informovat o postupe naseho vyskumu v oblasti
bezpecnosti jahodoveho sirupu s obrazkom Rumcajza pod Jedlickou.
S pozdravom: Sirup - Zaklad racionalnej vyzivy !! sa luci,
SERT Team
Koniec Sirup Security Advisory #14, 25. Marec 1996.5.24