27 feb 2013

FreeBSD 9.1 ftpd Remote Denial of Service

FreeBSD 9.1 ftpd Remote Denial of Service
El fallo es especifico de Pure-FTPd, si bien se usa como vector libc, el producto afectado es Pure-FTPd, asi que no lo usen!, tampoco bajo Linux por las dudas... o prueben y reporten el CVE!.

Algunos server afectados:

- ftp.uk.freebsd.org
- ftp.ua.freebsd.org
- ftp5.freebsd.org
- ftp5.us.freebsd.org
- ftp10.freebsd.org
- ftp3.uk.freebsd.org
- ftp7.ua.freebsd.org
- ftp2.se.freebsd.org
- ftp2.za.FreeBSD.org
- ftp2.ru.freebsd.org
- ftp2.pl.freebsd.org

Y hay más....

Parece ser que el viejo bug en libc que provocaba un DoS remoto, aun esta presente en FreeBSD 9.1.
El mismo Security Researcher, probandó encontró la falla nuevamente y certifica que asi es.
Según el se trata del viejo CVE-2011-0418, que aun no ha sido realmente arreglado del todo.
Según comenta un atacante externo, sin conocimientos elevados, solo con conectarse al FTP, autenticarse como anonymous (eso se hace al ingresar a un FTP por web usando firefox), y enviando STAT con algunas modificaciones, genera un CPU resource exhaustion.

Les dejo el link con el PoC para que vean si es cierto o no (guiño guiño):

http://cxsecurity.com/issue/WLB-2013020003

Nota: Personalmente, creo que todos, hasta el vsftpd ya estan fuera de moda, en serio. Teniendo a mano sftp, no se porque se siguen usando demonios de FTP, entiendo que es necesario un cliente especial para sftp, pero que mas da.. solo se restringe el uso por web pero a quien le interesa si esos ftp no estan para browsearlos.. en fin.

No hay comentarios:

Publicar un comentario

Dejá tu comentario