Vulnerability Bulletins |
Manejo incorrecto de ACLs basadas en CIDR en ProFTPD |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de la visibilidad |
Dificulty | Principiante |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | ProFTPD 1.2.9 |
Description |
|
Se ha descubierto una vulnerabilidad en la versión 1.2.9 del servidor FTP ProFTPD. La vulnerabilidad reside en el manejo inadecuado de las Listas de Control de Acceso basadas en CIDR, concretamente en las directivas 'Allow' y 'Deny' que serán tratadas como directivas 'AllowAll'. La explotación de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso sin autorización a recursos del sistema. |
|
Solution |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software ProFTPD ProFTPD 1.2.9 - Parche http://bugs.proftpd.org/show_bug.cgi?id=2267 Mandrake Linux Mandrakelinux 10.0 i386 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-1.2.9-3.1.100mdk.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/proftpd-anonymous-1.2.9-3.1.100mdk.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/SRPMS/proftpd-1.2.9-3.1.100mdk.src.rpm |
|
Standar resources |
|
Property | Value |
CVE | CAN-2004-0432 |
BID | |
Other resources |
|
ProFTPD Bugzilla Bug 2267 http://bugs.proftpd.org/show_bug.cgi?id=2267 MandrakeSoft Security Advisory MDKSA-2004:041 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:041 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-05-03 |
1.1 | CAN añadido | 2004-05-06 |