int(788)

Vulnerability Bulletins


Manejo incorrecto de ACLs basadas en CIDR en ProFTPD

Vulnerability classification

Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Principiante
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information

Property Value
Affected manufacturer GNU/Linux
Affected software ProFTPD 1.2.9

Description

Se ha descubierto una vulnerabilidad en la versión 1.2.9 del servidor FTP ProFTPD. La vulnerabilidad reside en el manejo inadecuado de las Listas de Control de Acceso basadas en CIDR, concretamente en las directivas 'Allow' y 'Deny' que serán tratadas como directivas 'AllowAll'.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso sin autorización a recursos del sistema.

Solution

Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.


Actualización de software

ProFTPD
ProFTPD 1.2.9 - Parche
http://bugs.proftpd.org/show_bug.cgi?id=2267

Mandrake Linux

Mandrakelinux 10.0
i386
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-1.2.9-3.1.100mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-anonymous-1.2.9-3.1.100mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/SRPMS/proftpd-1.2.9-3.1.100mdk.src.rpm

Standar resources

Property Value
CVE CAN-2004-0432
BID

Other resources

ProFTPD Bugzilla Bug 2267
http://bugs.proftpd.org/show_bug.cgi?id=2267

MandrakeSoft Security Advisory MDKSA-2004:041
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:041

Version history

Version Comments Date
1.0 Aviso emitido 2004-05-03
1.1 CAN añadido 2004-05-06
Ministerio de Defensa
CNI
CCN
CCN-CERT