Összefoglaló
Egy biztonsági problémát jelentettek a FreeBSD ftpd szoftverében, amelyet a rosszindulatú felhasználók kihasználhatnak bizonyos biztonsági korlátozások megkerüléséhez.
Leírás
Egy biztonsági problémát jelentettek a FreeBSD ftpd szoftverében, amelyet a rosszindulatú felhasználók kihasználhatnak bizonyos biztonsági korlátozások megkerüléséhez.
A biztonsági problémát az ftpd bizonyos hibafeltételeinek elégtelen ellenőrzése okozza, mialatt az /etc/ftpchroot felhasználókra vonatkozó chroot információi kerülnek kiolvasásra. A felhasználó kihasználhatja ezt a chroot védelem kijátszására pl. a “.login_conf” és “.login_conf.db” fájlok, “openfiles” erőforrás limit 5 értékkel, home könyvtárba történő feltöltésével.
A problémát a FreeBSD 7.2 kiadásnál jelentették. Más kiadás is érintett lehet.
Megoldás
Csak megbízható felhasználóknak biztosítson hozzáférést! Ne hagyatkozzon a chroot védelemre!
Támadás típusa
Hijacking (Visszaélés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: packetstormsecurity.org
SECUNIA 36353