int(788)

Boletines de Vulnerabilidades


Manejo incorrecto de ACLs basadas en CIDR en ProFTPD

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricant afectat GNU/Linux
Software afectado ProFTPD 1.2.9

Descripción

Se ha descubierto una vulnerabilidad en la versión 1.2.9 del servidor FTP ProFTPD. La vulnerabilidad reside en el manejo inadecuado de las Listas de Control de Acceso basadas en CIDR, concretamente en las directivas 'Allow' y 'Deny' que serán tratadas como directivas 'AllowAll'.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso sin autorización a recursos del sistema.

Solución

Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.


Actualización de software

ProFTPD
ProFTPD 1.2.9 - Parche
http://bugs.proftpd.org/show_bug.cgi?id=2267

Mandrake Linux

Mandrakelinux 10.0
i386
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-1.2.9-3.1.100mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-anonymous-1.2.9-3.1.100mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/SRPMS/proftpd-1.2.9-3.1.100mdk.src.rpm

Identificadores estándar

Propiedad Valor
CVE CAN-2004-0432
BID

Recursos adicionales

ProFTPD Bugzilla Bug 2267
http://bugs.proftpd.org/show_bug.cgi?id=2267

MandrakeSoft Security Advisory MDKSA-2004:041
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:041

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2004-05-03
1.1 CAN añadido 2004-05-06
Ministerio de Defensa
CNI
CCN
CCN-CERT