_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alex Korchmar 2:5020/28 16 Feb 99 02:11:10
Subj : Re: FTP-Buffer-Overflows
________________________________________________________________________________
evgeniy_v@mail.ru wrote:
evmr> Обнаружуна ошибка в ряде широко распространенных ftp-серверах:
evmr> ProFTPD (1.2.0pre1), Wuarchive ftpd (wu-ftpd) которая позволяет
evmr> получить интерактивный доступ к этим ftp-серверам с root привелегиями.
от себя добавлю, что обнаружена (мной ;) ошибка, не позволяющая
малой кровью исправить данную ошибку.
Т.е. _все_ якобы исправляющие этот баг патчи (кроме, возможно, патчей
линуксовых дистрибутивов под конкретные версии пакетов) на которые
приводятся ссылки - т.е. BeroFTPD 1.3.3 и патчи VR > 10, содержат кучу
собственных плюх, подтверждающих, что их авторам рановато заниматься
секьюрити - они не умеют даже тестировать собственную писанину на
тривиальные ляпы.
Так что мой совет - снесите слово dirs из ftpaccess, запретите логин
не-trusted юзеров кроме как anonymous'ом (если то либо другое у кого-то
есть - он в любом случае ищет себе на жопу приключений), и ждите, пока
не выйдет wu-ftpd-B19.
> Alex
P.S. если кому-то неймется полюбоваться - соберите любой из них с #define
THROUGHPUT 1 в config.h. (он там и так по умолчанию в VR-патче) -
обхохочетесь.
--- ifmail v.2.14.os-p2 * Origin: Down System -2 (2:5020/28@fidonet)
