Últimos Cambios
Blog personal: El hilo del laberinto
|
|
|
Últimos Cambios |
|
Blog personal: El hilo del laberinto
|
|
|
Última Actualización: 14 de Septiembre de 2.000 - Jueves
Las versiones de PROFTPD 1.2.0rc2 y previas son vulnerables a varios ataques de desbordamiento de búfer que permiten la ejecución de código arbitrario con los privilegios del usuario PROFTPD, típicamente "root".
PROFTPD es un servidor FTP para entornos UNIX, tradicionalmente considerado bastante estable y seguro. La versión 1.2.0rc2 y anteriores contienen diversos errores de programación susceptibles de producir desbordamientos de búfer y la ejecución de código arbitrario en el servidor.
El problema más grave y fácilmente atacable puede solucionarse con un parche muy sencillo (una vez más, ventajas de disponer del código fuente):
--- src/main.c 2000/01/13 01:47:02 1.3
+++ src/main.c 2000/04/29 19:22:18
@@ -377,7 +377,7 @@
vsnprintf(statbuf, sizeof(statbuf), fmt, msg);
#ifdef HAVE_SETPROCTITLE
- setproctitle(statbuf);
+ setproctitle("%s", statbuf);
#endif /* HAVE_SETPROCTITLE */
va_end(msg);
En cualquier caso, la versión 1.2.0, disponible desde hace un mes, soluciona estos problemas.
Más información:
Un par de lectores nos han señalado un error en el boletín "una-al-día" titulado "Ejecución de código arbitrario en 'PROFTP'", publicado el 29 de Agosto pasado. En él indicábamos que que la vulnerabilidad afectaba hasta la versión 1.2.0rc2 inclusive.
Carlos Sauquillo y Jordi Bruguera nos han señalado muy acertadamente que la vulnerabilidad está presente en las versiones hasta la 1.2.0rc2 (la última versión disponible en este momento), pero que en ésta ya ha sido corregido el problema, cosa que hemos verificado.
Pedimos disculpas a todos nuestros suscriptores, y les agradecemos la confianza depositada en Hispasec como fuente de información fiable en el campo de la seguridad informática.
Más información sobre los OpenBadges
Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS
