Jarle Aase, el autor del programa War-FTP advierte sobre un problema de seguridad en todas las versiones del demonio de ftp de su programa.
El problema fue reportado vía e-mail al propio autor que rápidamente envió una alerta de seguridad a la lista de correo de usuarios del propio programa, al grupo de news alt.comp.jgaa y a la lista de correo bugtraq.
El autor diferencia el problema dependiendo de la versión instalada, para aquellos usuarios que tengan el demonio War-FTP 1.70 el bug permite el acceso sin restricciones a cualquier archivo de la máquina incluso para usuarios que no dispongan de cuenta de acceso en ella.
Si está instalada una versión antigua del controlador ODBC el bug también permite a los usuarios el acceso sin limitaciones a todos los comandos del sistema con privilegios de administrador (aunque esto es un bug del ODBC que ha sido corregido en las versiones más recientes).
Para corregir esta problema el autor ha publicado War-FTP Daemon 1.71, si bien advierte que est versi¢n no est completamente testada, por lo que en breve corregir mucho mejor todos los errores de esta versi¢n.
Por otra parte, en la versi¢n War FTP Daemon 1.67b2 y anteriores el bug puede dar acceso sin restricciones a algunos archivos a usuarios con privilegios. Los usuarios deben haber accedido al sistema y tener al menos permisos para escribir o crear. Los usuarios tampoco podr n ejecutar comandos. Los administradores de esta versi¢n dispon¡an de un parche en menos de 24 horas. Todos los parches y actualizaciones se pueden encontrar en:
ftp://ftp.no.jgaa.com y http://war.jgaa.com/alert/files
El problema reside en que WarFTPd se ofrece con diversas macros que asisten al administrador en la configuraci¢n de sitios ftp complejos. Pero es posible llamar estas macros de forma remota, sin necesidad de ser un usuario autentificado. Algunas de estas macros pueden revelar informaci¢n del servidor y del sistema operativo, y pueden usarse por un atacante para descubrir los contenidos de archivos en mensajes de error, lo que incluye los archivos de configuraci¢n del War-FTP que pueden incluir la password de administrador en texto plano.
M s informaci¢n:
Parches y actualizaciones
ftp://ftp.no.jgaa.com
http://war.jgaa.com/alert/files
Securityfocus
http://www.securityfocus.com/level2/bottom.html? go=vulnerabilities&id=919
Antonio Ropero
antonior@hispasec.com
