Jarle Aase, el autor del programa War-FTP advierte sobre un
problema de seguridad en todas las versiones del demonio de ftp
de su programa.
El problema fue reportado vía e-mail al propio autor que
rápidamente envió una alerta de seguridad a la lista de correo de
usuarios del propio programa, al grupo de news alt.comp.jgaa y a
la lista de correo bugtraq.
El autor diferencia el problema dependiendo de la versión
instalada, para aquellos usuarios que tengan el demonio War-FTP
1.70 el bug permite el acceso sin restricciones a cualquier
archivo de la máquina incluso para usuarios que no dispongan de
cuenta de acceso en ella.
Si está instalada una versión antigua del controlador ODBC el bug
también permite a los usuarios el acceso sin limitaciones a todos
los comandos del sistema con privilegios de administrador (aunque
esto es un bug del ODBC que ha sido corregido en las versiones
más recientes).
Para corregir esta problema el autor ha publicado War-FTP Daemon
1.71, si bien advierte que está versión no está completamente
testada, por lo que en breve corregirá mucho mejor todos los
errores de esta versión.
Por otra parte, en la versión War FTP Daemon 1.67b2 y anteriores
el bug puede dar acceso sin restricciones a algunos archivos a
usuarios con privilegios. Los usuarios deben haber accedido al
sistema y tener al menos permisos para escribir o crear. Los
usuarios tampoco podrán ejecutar comandos. Los administradores de
esta versión disponían de un parche en menos de 24 horas. Todos
los parches y actualizaciones se pueden encontrar en
ftp://ftp.no.jgaa.com y http://war.jgaa.com/alert/files
El problema reside en que WarFTPd se ofrece con diversas macros
que asisten al administrador en la configuración de sitios ftp
complejos. Pero es posible llamar estas macros de forma remota,
sin necesidad de ser un usuario autentificado. Algunas de estas
macros pueden revelar información del servidor y del sistema
operativo, y pueden usarse por un atacante para descubrir los
contenidos de archivos en mensajes de error, lo que incluye los
archivos de configuración del War-FTP que pueden incluir la
password de administrador en texto plano.
Más información:
Parches y actualizaciones (FTP)
Parches y actualizaciones
Securityfocus
antonior@hispasec.com
Deja una respuesta