Múltiples implementaciones de los servidores FTP tienen un problema de
desbordamiento de búfer que puede permitir a un atacante remoto
conseguir privilegios de administración en las máquinas afectadas.
El problema, que afecta a los demonios FTP de las plataformas FreeBSD
4.2, OpenBSD 2.8, NetBSD 1.5, IRIX 6.5.x, HPUX 11 y Solaris 8, tiene
relación con el uso de la función glob() y está supeditado a que el
atacante tenga la posibilidad de crear directorios en el servidor.
La implementación de la función glob() depende del propio demonio. En
la mayoría de los casos reside dentro del propio dominio, aunque en
algunos casos está bajo libc. Un número de vulnerabilidades resultan
de la presunción del demonio FTP en el que se asume que el número de
caracteres recibidos del usuario está limitado (con un límite típico de
512 caracteres). Este supuesto resulta en un problema ya que la mayoría
de los demonios tienen una regla para procesar los nombres de ruta que
comienzan con una tilde, con la intención de reemplazar este carácter
con el directorio home. Sin embargo, esto se realiza a través de la
función glob() por lo que el demonio FTP también expande cualquier otro
carácter comodín presente. De esta forma, la entrada del usuario podrá
sobrepasar los límites definidos.
Por otra parte, algunas implementaciones de la función glob() contienen
un problema de desbordamiento de búfer por si mismo. Estos
desbordamientos se pueden provocar típicamente al realizar una petición
de un patrón que expanda una ruta muy larga.
Hasta la publicación de parches que corrijan este problema, las
vulnerabilidades deberán ser cubiertas asegurándose de que en el árbol
FTP no existen directorios que tengan permisos de escritura por
usuarios anónimos. Además los administradores de BSD e Irix deberán
comprobar que no existen directorios en el árbol FTP anónimo con un
nombre de más de ocho caracteres. Estas precauciones sólo limitan la
posibilidad de explotar la vulnerabilidad por usuarios remotos y no
proporcionan remedio contra una escalada de privilegios de un usuario
local.
antonior@hispasec.com
Más información:
Aviso de serguridad de Covert Labs:
http://www.pgp.com/research/covert/advisories/048.asp
Deja una respuesta