Boletines de Vulnerabilidades |
Manejo incorrecto de ACLs basadas en CIDR en ProFTPD |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | ProFTPD 1.2.9 |
Descripción |
|
Se ha descubierto una vulnerabilidad en la versión 1.2.9 del servidor FTP ProFTPD. La vulnerabilidad reside en el manejo inadecuado de las Listas de Control de Acceso basadas en CIDR, concretamente en las directivas 'Allow' y 'Deny' que serán tratadas como directivas 'AllowAll'. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso sin autorización a recursos del sistema. |
|
Solución |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software ProFTPD ProFTPD 1.2.9 - Parche http://bugs.proftpd.org/show_bug.cgi?id=2267 Mandrake Linux Mandrakelinux 10.0 i386 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-1.2.9-3.1.100mdk.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-anonymous-1.2.9-3.1.100mdk.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/SRPMS/proftpd-1.2.9-3.1.100mdk.src.rpm |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2004-0432 |
BID | |
Recursos adicionales |
|
ProFTPD Bugzilla Bug 2267 http://bugs.proftpd.org/show_bug.cgi?id=2267 MandrakeSoft Security Advisory MDKSA-2004:041 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:041 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-05-03 |
1.1 | CAN añadido | 2004-05-06 |