Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Grave vulnerabilidad en el WU-FTPD

Última Actualización: 30 de Junio de 2.000 - Viernes

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 23 de Junio de 2.000.

La versión 2.6.0 del servidor WU-FTPD padece de varios problemas de seguridad, que permiten que un usuario remoto ejecute código arbitrario en la máquina atacada, como "root". Para explotar esta vulnerabilidad, el atacante ni siquiera necesita una cuenta FTP en el servidor.

WU-FTPD es uno de los servidores FTP para entorno Unix más difundidos en todo el mundo. Es un proyecto Open Source no comercial, patrocinado originariamente por la Universidad de Washington.

La vulnerabilidad se localiza en la gestión del comando "SITE EXEC", generalmente utilizado para que los usuarios puedan ejecutar determinados comandos en el servidor. La rutina en cuestión acepta cadenas de formateo de "printf()" proporcionadas por el atacante. Ello le permite cosas como escribir en memoria en direcciones arbitrarias, y ejecutar código arbitrario como "root".

En el momento de escribir este boletín todavía no existe una versión revisada del WU-FTPD, aunque sus autores han publicado un pequeño parche que parece resolver el problema. Los administradores que ejecuten WU-FTPD en sus máquinas deberían actualizarse a la versión 2.6.0 e instalarse ese pequeño parche (pueden hacerlo ellos mismos, ya que afortunadamente estamos trabajando con código fuente), a la espera de que exista una versión oficial que solucione el problema.

Más información:



Python Zope ©2000 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS