domingo, 24 de agosto de 2003

Vulnerabilidad WU-FTPD

Las versiones no actualizadas de WU-FTPD contienen un desbordamiento
de búfer que permite que un atacante remoto ejecute código arbitrario
en el servidor y obtenga privilegios de administrador o "root".

WU-FTPD es un servidor FTP desarrollado en la Universidad de
Washington, EE.UU. Aunque en los últimos años ha ido dejando paso a
proyectos alternativos como el ProFTP, WU-FTPD sigue siendo unos de
los servidores FTP más utilizados del mundo Unix.

El problema radica en la función "fb_realpath()". Dicha función
concatena varios búferes para construir un "path". Aunque se comprueba
que la longitud final no sea excesiva, la comprobación se realiza con
"MAXPATHLEN+1", cuando el tamaño máximo real del búfer es "MAXPATHLEN".

Este desbordamiento permite que un atacante introduzca y ejecute código
malicioso en el servidor. El atacante necesita acceso de escritura al
servidor FTP. El éxito del ataque en sí depende de la versión del
Kernel, librerías, sistema operativo y arquitectura de la CPU concreta
empleada.

La vulnerabilidad afecta a las versiones WU-FTPD entre la 2.5.0 y la
2.6.2, ambas inclusive.

En los Unix OpenSource *BSD, existe un problema de seguridad adicional
en una función de la librería C estándar, llamada "realpath". Se han
publicado ya varios avisos de seguridad al respecto, con
actualizaciones de sus sistemas.


Jesús Cea Avión
jcea@hispasec.com


Más información:

wu-ftpd fb_realpath() off-by-one bug
http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt

Off-by-one error in the fb_realpath() function, as derived from the
realpath function in BSD, may allow attackers to execute arbitrary code,
as demonstrated in wu-ftpd 2.5.0 through 2.6.2 via commands that cause
pathnames of length MAXPATHLEN+1 to trigger a buffer overflow, including
(1) STOR, (2) RETR, (3) APPE, (4) DELE, (5) MKD, (6) RMD, (7) STOU, or
(8) RNTO.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0466

Vulnerability Note VU#743092: realpath(3) function contains off-by-one
buffer overflow
http://www.kb.cert.org/vuls/id/743092

DSA-357-1 wu-ftpd -- remote root exploit
http://www.debian.org/security/2003/dsa-357

Off-by-one Buffer Overflow Vulnerability in BSD libc realpath(3)
http://marc.theaimsgroup.com/?l=bugtraq&m=106002488209129&w=2

Updated wu-ftpd packages fix remote vulnerability
http://rhn.redhat.com/errata/RHSA-2003-245.html

Updated wu-ftpd packages fix remote vulnerability
http://rhn.redhat.com/errata/RHSA-2003-246.html

MandrakeSoft Security Advisory MDKSA-2003:080 : wu-ftpd
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:080

SuSE Security Announcement
http://www.suse.de/de/security/2003_032_wuftpd.html

WU-FTPD
http://www.wuftpd.org/