Dwa poważne błędy w serwerze ProFTPD

Firma Internet Security Systems wykryła w serwerze ProFTPD dwa dość poważne błędy, na które podatne są wszystkie wersje serwera do 1.2.9rc3 włącznie. Jeden z błędów występuje w mechanizmie kontroli dostępu ACL drugi zaś może doprowadzić do przepełnienia buforu, co w rezultacie da atakującemu pełny dostęp do serwera.

Pierwszy z błędów pozwala atakującemu na ominięcie mechanizmu bezpieczeństwa powszechnie nazywanego jako Listami Kontroli Dostępu (Access Control Lists) która zawiera bezklasowe rutowania międzydomenami (Classless Inter Domain Routing) ustawione z dostępem dla wszystkich łączących się użytkowników (CIDR ustawiony z dyrektywą AllowAll).

Drugi błąd dotyczy przepełnienia buforu serwera poprzez wysłanie jakiego kolwiek pliku z włączonym trybem ASCII. Używając tego trybu serwer analizuje pierwsze 1024 bajty samego kodu w celu sprawdzenia występowania tzw. nowej linii (\n). Niestety analiza takiego pliku nie jest poprawna, co powoduje do przepełnienia buforu.

W teorii wygląda to następująco – wystarczy przesłać plik, który będzie zawierał odpowiedni kod po czym pobrać go ponownie co spowoduje najpierw przepełnienie buforu serwera a późnij wywoła dalszą część kodu z pobieranego pliku. W rezultacie otrzymujemy pełny dostęp do wgrywania, kasowania bądź manipulowania w całości serwerem FTP.

Osoby korzystające z serwera ProFTPD do wersji 1.2.9 powinny jak najszybciej pobrać najnowszą wersję która pozbawiona jest tych błędów. Źródła wersji 1.2.9 można pobrać stąd natomiast źródłą wersji 1.2.10rc1 dostępne do pobrania są stąd.