Sigurnosni nedostaci unutar FTP poslužitelja ProFTPD

U programskom paketu ProFTPD otkrivena su dva sigurnosna propusta. ProFTPD je poznati besplatni poslužitelj koji omogućuje sigurnu i jednostavnu razmjenu podataka na mreži uporabom FTP protokola.

Udaljeni ih napadač može iskoristiti za izvođenje napada umetanjem SQL (eng. Structured Query Language) koda.
Uspješna zlouporaba uključuje koristenje znaka "%" u korisničkom imenu te određenih višebitnih znakova.

Ove ranjivosti imaju oznake: CVE-2009-0542, CVE-2009-0543 i DSA-1727-1.

Propusti su ispravljeni u paketu proftpd verzije 1.3.1-17lenny1 za Debian lenny. Novi paket za Debian etch (aktualni CARNet Debian) će uskoro biti objavljen.

Bitno je naglasiti da je sa CARNetovom distribucijom predinstaliran FTP poslužitelj vsftpd koji nije ranjiv.

Novi paket proftpd za Debian mozete instalirati na uobičajeni način:

apt-get update
apt-get upgrade

Ako želite instalirati samo paket proftpd:

apt-get update
apt-get -y install proftpd

 

Više o tome možete naći na:
http://www.debian.org/security/2009/dsa-1727

CARNet, Grupa za izradu paketa
paketi@carnet.hr
http://paketi.carnet.hr/

pon, 2009-03-02 09:17 - Toni Pralas
Vijesti: 
Sigurnosni propusti
Vote: 
0
No votes yet