水曜日, 3月 02, 2011

vsftpdバージョン~2.3.2のリモート側のDoSセキュリティ問題に付いて(ツイッターRT)

本件セキュリティ問題について下記のUNIX FTPサーバに影響があります↓
Affected Software (verified):
- - vsftpd 2.3.2 (NetBSD 5.1)
- - vsftpd 2.3.0 (Ubuntu 10.10)
Affected Servers (19.02.2011):
- - ftp.gnu.org (2.0.6)
- - ftp.kernel.org (2.2.2)
- - ftpgen.wip4.adobe.com (2.3.2)
- - ftp.oracle.com (2.0.5)
- - ftp.freebsd.org (2.2.0)
- - more more more...
※本件のバグはvsftpdのバーション2.3.4に直りました。バーション2.3.4には影響がありません。

問題の説明↓
vsftpdのソースコード「ls.c」の所にアスタリスクのハンドルのバグがあり、当たるコマンドラインが来るとresource exhaustion(システムリソース不足になる事)の状況を作れる可能性がありFTPサービスのDoS状況になります。
コードの中には下記の条件のCALLの制限があった方が良いとの事です↓
if (vsf_filename_passes_filter())

注意点↓
本件のバグ再現仕方はウェブで交換されております、例えば下記のサイト↓
http://seclists.org/fulldisclosure/2011/Mar/2
http://cxib.net/stuff/vspoc232.c
http://packetstormsecurity.org/files/download/98796/vsftpd232-dos.txt
影響されている運用しているFTPサービスが多いですので、バーション確認が必要し、アップグレードのお手続きをお願いします。

再現仕方↓
こちらからPoCファイル(vspoc232.c)をダウンロードし、それでこちらのページに書いたあう再現手順でやると再現が出来ます。

解決方法↓

問題のTwitterアラート履歴↓
3月2日01:27 AM JST@unixfreaxjp: Vsftpd 2.3.2 DoSの再現情報がもうウェブで交換されていますが早めにバージョンアップの確認をして下さい、この対応が漏れたらgumblarみたいな感染仕組みがまた出てきたぞ! → http://t.co/ju0i2CM

3月1日21:52 PM JST@unixfreaxjp: vsftpdバージョン~2.3.2のリモート側からのDoSセキュリティ問題に付いて → http://t.co/Vxqy6ae


credit: Maksymilian Arciemowicz [ SecurityReason.com ]

---
ゼロデイ・ジャパン
http://0day.jp
Posted by unixfreaxjp at 1:36 午前

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)