|
Título: Fallo grave de seguridad en el servidor FTP vsftpd de Linux Publicado por: wolfbcn en 4 Julio 2011, 15:16 pm Acabamos de enterarnos gracias a SecurityByDefault (http://www.securitybydefault.com/2011/07/el-smile-de-la-muerte-puerta-trasera-en.html) de un fallo grave de seguridad en el servidor FTP más famoso para sistemas operativos Linux, el VSFTPD.
Este servidor FTP es el más utilizado en Linux por su sencillez, por su seguridad y porque consume muy pocos recursos del sistema. Podéis encontrar un manual de instalación y configuración de vsftpd aquí (http://www.redeszone.net/gnu-linux/servidor-ftp-en-ubuntu-manual-para-crear-un-servidor-ftp-en-ubuntu-para-compartir-archivos-en-lan-e-internet/). Este servidor FTP también es usado por el Firmware Tomato RAF (http://www.redeszone.net/firmware-tomato-raf/), y es exactamente la versión 2.3.4 que es la afectada por este fallo de seguridad. A continuación tenéis más detalles. El fallo de seguridad consiste en introducir como nombre de usuario /:)/ (el famoso smile) y nos dará acceso total y ejecución de comandos en el servidor, únicamente está afectada la versión 2.3.4. La explicación técnica la podéis encontrar en el propio post de SecurityByDefault. Hemos comprobado la versión que hay en el Synaptic de Ubuntu y es la versión 2.3.0 que no está afectada por este fallo de seguridad, los creadores han retirado esta última versión de su sitio web al conocerse la vulnerabilidad. Al menos, han sido rápidos en quitarlo. Sin embargo la última versión de Tomato RAF sí usa la versión afectada, pero hemos comprobado que funciona correctamente: (http://www.redeszone.net/wp-content/uploads/vsftpd_fallo_seguridad.png) (http://www.redeszone.net/wp-content/uploads/vsftpd_fallo_seguridad.png) Desde aquí recomendamos comprobar que vuestro servidor no esté afectado por este fallo de seguridad. FUENTE :http://www.redeszone.net/2011/07/04/fallo-grave-de-seguridad-en-el-servidor-ftp-vsftpd-de-linux/ |