ftp bug !!! ftp bug!!!
Luca Giuzzi
giuzzi a dmf.unicatt.it
Gio 29 Nov 2001 10:08:09 UTC
Marco, il tuo advisory sembra quello di un certo venditore di software
che non voglio nominare:
"se non sapete se avete un server http sulla vostra macchina, premete
CTRL+ALT+DEL e...."
In ogni caso il problema e' reale: un motivo in piu' per usare bsd-ftpd
(pure per linux) se si deve necessariamente attivare un servizio
anonymous e costringere gli utenti legittimi a trasferire files SOLO
con scp.
Buon rootkit,
lg
On Thu, Nov 29, 2001 at 09:34:40AM +0100, marco ghidinelli wrote:
>
> WuFtpd contiene ha un grossissimo problema di sicurezza che permette a
> chiunque di accedere a una shell root su una macchina.
>
> se avete un server ftp sulla vosta macchina, molto probabimente questo e'
> vulnerabile.
>
> se utilizzate redhat a questa pagina trovate tutti i link per scaricare i
> pacchetti rpm corretti.
>
> http://www.securityfocus.com/archive/1/242750
>
> se avete un server ftp installato al momento vi consiglio di disabilitarlo
> con un comando tipo:
>
> # x redhat:
> /etc/rc.d/init.d/ftpd stop
>
> # x debian
> /etc/init.d/wuftpd stop
>
> se siete dubbiosi sul fatto di avere o meno un ftpserver sulla vostra
> macchina, basta eseguire il comando:
>
> ftp localhost
>
> e se questo chiede poi utente e password significa che avete un server ftp
> installato.
>
> ciao.
>
> --
> BOFH excuse #110:
>
> The rolling stones concert down the road caused a brown out
--
Maggiori informazioni sulla lista
Lug
|