From zehl@informatik.tu-muenchen.de  Mon Jun  3 23:44:24 1996
Received: from tuminfo2.informatik.tu-muenchen.de (root@tuminfo2.informatik.tu-muenchen.de [131.159.0.81]) by suburbia.net (8.7.4/Proff-950810) with ESMTP id XAA01288 for <best-of-security@suburbia.net>; Mon, 3 Jun 1996 23:43:31 +1000
Received: from hphalle0.informatik.tu-muenchen.de ([131.159.4.1]) by tuminfo2.informatik.tu-muenchen.de with ESMTP id <26481-3>; Mon, 3 Jun 1996 15:42:37 +0200
Received: from hphalle10g.informatik.tu-muenchen.de by hphalle0.informatik.tu-muenchen.de id <397522-357>; Mon, 3 Jun 1996 15:42:21 +0100
Subject: =?UNKNOWN-8BIT?Q?Gef=E4hrlicher?= Fehler im Unix-ZModem (fwd)
From: Stefan `Sec` Zehl <zehl@informatik.tu-muenchen.de>
To: best-of-security@suburbia.net
Date: 	Mon, 3 Jun 1996 15:42:20 +0200 (MESZ)
X-URL: http://www.blafasel.de/~sec/
X-Nick: Sec
X-Mailer: ELM [version 2.4 PL24 PGP2]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Message-Id: <96Jun3.154221+0100mesz.397522-357+628@hphalle0.informatik.tu-muenchen.de>

Thought this might be interesting: 
(I try to translate it as good as i can) 
Uwe Ohse wrote:
> Newsgroups: maus.os.linux,de.comp.os.linux.misc,de.comp.security,maus.os.unix
> 
> Im Unix-ZModem ist ein übles Sicherheitsloch. rz, das Empfangsprogramm,
> erlaubt der Gegenseite die Ausführung beliebiger Programme und Scripte.
> Das kann man ohne weiteres dazu nutzen, komplette Mailboxsysteme oder
> alle Daten des Benutzers zu löschen.
There is a severe bug in Unix-ZModem. The receiving Programm 'rz'
allows the sending side to execute any command. This can be used to
delete all files of a mailbox or user.
> 
> Der Fehler ist in allen mir bekannten Versionen des Unix-ZModems
> enthalten. Restricted mode (Aufruf unter einer restricted shell)
> hilft überhaupt nicht.
The bug resides in all (to the Author known) versions of 'Unix-ZModem'
Using ZModem under a restricted shell does not help anything.

> 
> Der Fix ist einfach: Sourcen besorgen und rz.c bzw. lrz.c modifizieren:
The fix is easy, just modify rc.c or lrz.c
>         case ZCOMMAND:
>             cmdzack1flg = Rxhdr[ZF0];
>             if (zrdata(secbuf, 1024) == GOTCRCW) {
> +               zshhdr(ZCOMPL, Txhdr);
> +               return ZCOMPL;
>                 if (cmdzack1flg & ZCACK1)
>                     stohdr(0L);
>                 else
> (ZCOMMAND kommt in rz.c genau einmal vor)
(ZCOMMAND appears only once )
> 
> 
[...]


CU,
	Sec
-- 
Email: sec@leo.org or sec@matrix.muc.de      WWW: http://www.blafasel.de/~sec/
   Phone: 089/3618013 or 0177/2340515                IRC: Sec @ #blafasel
              I'm living on a small planet called Reality ;-)