Las últimas versiones de ProFTPD (1.2.0pre1) y de Wuarchive ftpd
(2.4.2-academ[Beta-18]) son vulnerables a un ataque remoto que
compromete el nivel de root de los sistemas unix.
Wu-ftpd es instalado y habilitado por defecto en muchas de las
distribuciones de Linux, como RedHat y Slackware. En cuanto a
ProFTPD, se trata de un software de reciente aparición que
ha sido adoptado por muchas empresas en Internet por su
rendimiento y fiabilidad.
Existe un ataque clásico, buffer overflow, que consiste en
provocar la ejecución, sin autorización, de comandos con
privilegio de root. Se basa en las deficiencias en el
código a la hora de controlar los tamaños de algunas entradas,
lo que puede provocar un desbordamiento en el espacio de la pila.
Es decir, se provoca que el sistema intente almacenar demasiada
información en poco espacio. Al ser la información excesiva se
produce una sobreescritura de los datos sobrantes en otra parte
de la memoria. Este hecho puede ser aprovechado por un hacker
para introducir comandos en código máquina en la cadena de entrada
que provoca el desbordamiento, de manera que al posicionarse
directamente en la memoria el sistema los ejecute. De esta forma
se consigue vulnerar los controles de acceso y poder ejecutar
programas arbitrariamente.
La versión actual de ProFTPD, 1.2.0pre1 del 19 de Octubre de 1998,
es vulnerable a este tipo de ataque, así como todas las versiones
anteriores. El problema será corregido en la 1.2.0pre2, hasta
la aparición de esta nueva versión se puede aplicar el parche
disponible en:
ftp://ftp.proftpd.org/patches/proftpd-1.2.0pre1-path_exploit.patch
En el caso del wu-ftpd se recomienda actualizarse a las series VR,
que se encuentran libre de esta vulnerabilidad a partir de la
versión 2.4.2 (beta 18) VR12, disponible en:
ftp://ftp.vr.net/pub/wu-ftpd/wu-ftpd-2.4.2-beta-18-vr12.tar.Z
ftp://ftp.vr.net/pub/wu-ftpd/wu-ftpd-2.4.2-beta-18-vr12.tar.gz
RedHat, cuya versión 5.2 y anteriores son vulnerables, ofrece el
parche en:
ftp://updates.redhat.com/5.2//wu-ftpd-2.4.2b18-2.1..rpm
En el caso de Slackware, en el que todas sus versiones son
vulnerables, los parches se encuentran en:
ftp://ftp.cdrom.com/pub/linux/slackware-3.6/slakware/n8/tcpip1.tgz
ftp://ftp.cdrom.com/pub/linux/slackware-current/slakware/n8/tcpip1.tgz
El resto de información y parches para otros sistemas pueden
encontrarse en la dirección original que ofrece esta información:
http://www.netect.com/advisory_0209.html
Deja una respuesta