Bolet'in ASC 2000-008
Area de Seguridad en Computo
asc en conga.super.unam.mx
Mar Jul 11 02:58:21 CDT 2000
-----BEGIN PGP SIGNED MESSAGE-----
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Area de Seguridad en C'omputo
DGSCA- UNAM
Bolet'in de Seguridad 2000-008
Vulnerabilidad en la validaci'on de entradas en el programa FTPD
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Se ha descubierto recientemente una vulnerabilidad en el programa FTPD al
momento de llevar a cabo la validaci'on y ejecuci'on del comando "site
exec" ha sido identificada recientemente en el programa distribuido
por la universidad de Washington llamado ftpd (wu-ftpd). Los sitios que
contienen dicho software en ejecuci'on recomendamos actualizarlo a su
versi'on mas actual libre de fallas a la brevedad posible.
Una vulnerabilidad de caracteristicas muy similares pero de forma distinta
ha sido identificada de, en la cual diversas llamadas de la
funci'on setproctitle es explotada. Esa vulnerabilidad afecta a una gran
variedad de equipos que usan dicho servicio ftp. Recomendamos ver el
Apendice A de este documento para mayores informes acerca de las
implementaciones y posibles soluciones a dicho problema.
Fecha de Notificaci'on : Julio 8 del 2000
'Ultima Revisi'on : Julio 10 del 2000
Sistemas Afectados : Netscape en todas
Fuente : CERT/CC
, , , , , , , , , , , , , , ,
* Sistemas Afectados *
, , , , , , , , , , , , , , ,
Hasta el momento se detecta que 'esta vulnerabilidad afecta :
* Todo sistema que se encuentre en uso el programa wu-ftpd
versi'on 2.6.0 'o anterior.
* Todo sistema que se encuentre ejecutando el demonio ftpd y que
derive del programa wu-ftpd 2.0 o anterior.
* Algunos sistemas que ejecuten el programa ftpd y que 'este se
derive del programa BDS ftpd 5.51 'o BSD ftpd 5.60 (La 'ultima version
final del BSD)
, , , , , , , , , , , , , , ,
* Descripci'on del Problema *
, , , , , , , , , , , , , , ,
Una reciente vulnerabilidad ha sido descubierta dentro del programa
wu-ftpd y en algunos demonios del programa ftpd que basan su c'odigo
fuente del programa wu-ftpd. Wu-ftpd es una de las aplicaciones m'as
usadas en la comunidad del internet usada primordialmente para la
transferencia de archivos atraves de 'este usando el protocolo y servicio
FTP. Esta vulnerabilidad ha estado siendo discutida en diversos foros de
discusi'on publicos como "site-exec" 'o "lreply". Los incidentes de
seguridad reportados indican que dicha explotaci'on de esta vulnerabilidad
le permite a los intrusos el obtener privilegios de Superusuario
"root" dentro de los sistemas y asi afectarlos.
El problema es descrito de forma completa y en su versi'on en ingles del
bolet'in expedido el AUSCERT en el boletin AUSCERT Advisory AA-2000.02,
"wu-ftpd 'site-exec' y que est'a disponible en la siguiente direcci'on:
ftp://ftp.auscert.org.au/pub/auscert/advisory/AA-2000.02
La vulnerabilidad dentro del programa wu-ftpd llamada "site exec" consiste
en la perdida de un argumento del tipo caracter en diversas llamadas a las
funciones que implementa la funcion del comando site-exec. Normalmente si
la opci'on "site exec" se encuentra habilitada un usuario que se conecte
al servidor FTP (incluyendo conexiones del tipo ftp y anonymous) podr'an
ejecutar una subsecuente serie de comandos v'alidas para el sistema. Sin
embargo, si un usuario malicioso logra pasar las cadenas de caracteres que
consisten en cuidadosas llamadas de los caracteres de conversi'on de la
llamada *printf(), y de los caracteres (%f, %p, %n,etc) mientras que se
ejecuta el comando "site exec", el demonio ftpd puede ser vulnerable y
poner en riesgo la integridad del sistema e incluso permitir la
ejecuci'on de comandos con privilegios de superusuario(root).
La vulnerabilidad "site exec" parece haber estado presente desde el codigo
fuente original del programa wu-ftpd desde la versi'on 2.0 que sali'o en
1993. Cualquier sistema de transferencia de Archivos que basa su modo de
operaci'on en el programa wu-ftpd es vulnerable.
Dicha vulnerabilidad aparece ser explotable si una cuenta de un usuario
local es utilizada para la conexi'on de la transferencia de archivos. De
igual forma si se encuentra la opci'on "site exec" activada la conexi'on
anonima al servidor ftp es suficiente para permitir el acceso y poder
lograr perpetrar el ataque.
Vulnerabilidad setproctitle()
Existe una vulnerabilidad separada que proviene del uso de la llamada
setproctitle() que consiste en la p'erdida de un argumento del
carcter-formato en setproctitle(), 'esta llamada fija la cadena que
visualiza la informaci'on de proceso del identificador, la cual est'a
tambi'en presente en el programa wu-ftpd.
Otras implementaciones del programa ftpd parecen de igual forma ser
vulnerables a la llamada setproctitle(), incluyendo los programas proftpd
y OpenBSD que basan sus servidores de FTP en este programa.
Tambi'en se ha confirmado que est'a presente en el ftpd BSD 5.60(La
versi'on final del BSD). Todos los distribuidores que basen sus
distribuciones en el programa ftpd son vulnerable a dicha falla y pueden
ser objeto de intrusiones en sus equipos.
, , , , , , , , , , , , , , ,
* Actividad de los Intrusos *
, , , , , , , , , , , , , , ,
Un posible indicio de que tus sistemas est'an siendo atacados con alguna
de las vulnerabilidades sen~aladas, las puedes consultar dentro de tu
sistema en los archivos de bitcoras Syslog o similares, dependiendo del
tipo del sistema(messages en Linux) con las siguientes
caracteristicas:
Jul 4 17:43:25 victim ftpd[3408]: USER ftp
Jul 4 17:43:25 victim ftpd[3408]: PASS [malicious shellcode]
Jul 4 17:43:26 victim ftpd[3408]: ANONYMOUS FTP LOGIN FROM
attacker.example.com [10.29.23.19], [malicious shellcode]
Jul 4 17:43:28 victim-site ftpd[3408]: SITE EXEC (lines: 0):
%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%
.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.
f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f
%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%
.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.
f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f
%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%.f%c%c%c%.f|%p
Jul 4 17:43:28 victim ftpd[3408]: FTP session closed
Detalles y formas de explotaci'on de ambas vulnerabilidades ha sido
discutido en diversos foros p'ublicos. Si deseeas consultar los originales
te recomendamos consultar :
http://www.securityfocus.com/vdb/bottom.html?section=discussion&vid=1387
http://www.securityfocus.com/vdb/bottom.html?section=discussion&vid=1438
http://ciac.llnl.gov/ciac/bulletins/k-054.shtml
Diversos equipos de Respuesta a incidentes entre ellos CERT-CC y diveros
en todo el mundo han comenzado a recibir indicios de intrusion en los
sistemas utilizando esta vulnerabilidad.
, , , , , , ,
* IMPACTO *
, , , , , , ,
Debido al uso de alguna de las vulnerabilidades anteriormente consultadas,
los usuarios tanto locales coo remotos pueden obtener acceso a cualquier
sistema que se encuentre ejecutando el demonio ftpd y a su vez ejecutar
comandos privilegiados del sistema. Las entradas de usuarios anonimos de
igual forma pueden ejecutar comandos e incluso comandos con privilegios de
superusuario dentro del sistema.
, , , , , , ,
* SOLUCION *
, , , , , , ,
1. Actualizar la versi'on del FTPD
Ver ap'endice A de este bolet'in para m'as informaci'on acerca de la
disponibilidad de la actualizaci'on de los programas especif'icos para
cada sistema.
2. Aplicar parches para cada Sistema
Si encuentra que su sistema es vulnerable y esta ejecutando el servicio
FTPD y no lo puede actualizar, le recomendamos aplicar los parches
apropiados para cada sistema y recompilar y/o reinstalar el software para
cada servidor ftpd.
El Apendice A contienen toda la informaci'on proporcionada por cada
fabricante para la elaboraci'on de este bolet'in. Si la informaci'on para
su sistema operativo en especif'ico no se encuentra en este bolet'in, le
recomendamos contactar directamente a su fabricante.
3. Desactivar los Servicios ftp
Si ninguna de las dos opciones anteriores pueden ser aplicadas,
recomendamos ampliamente desactivar todos los servidores wu-ftpd y proftpd
vulnerables. Si se desactiva la funcionalidad del comando "site exec" o se
minimiza el acceso a los usuarios del tipo anonimo del servicio ftp, puede
no ser una completa soluci'on al problema y no puede reducir el riesgo al
que se encuentra expuesto un sistema que presenta dichas caracter'isticas
de la vulnerabilidad setproctitle().
- -----------------------------------------------
APENDICE A : Informacion adicional
- -----------------------------------------------
A continuaci'on exponemos los principales puntos de contacto de los
fabricantes de diversos sistemas operativos.
1. BSDI
No vulnerable.
2. Caldera Systems, Inc
Consultar el bolet'in CSSA-2000-020.0 para el sistema operativo
Open Linux.
ftp://ftp.calderasystems.com/pub/OpenLinux/security/CSSA-2000-020.0.txt
3. Conectiva S.A.
Consultar el siguiente URL :
http://www.securityfocus.com/templates/archive.pike?list=1&msg=20000623212826.A13925@conectiva.com.br
4. Debian GNU/Linux
Para el sistema operativo Debian recomendamos consultar :
http://www.debian.org/security/2000/20000623
5. FreeBSD, Inc.
Recomendamos leer el boletin expedido por el fabricante FreeBSD-SA-00:29.
6. Hewlett-Packard Company
El sistema HP es vulnerable, los parches se encuentran en proceso de
elaboraci'on, de igual forma el bolet'in que expilicar'a y detallar'a las
formas de prevenirlo y solucionarlo para dicho sistema operativo.
7. MandrakeSoft Inc.
Recomendamos leer el siguiente URL para el sistema Mandrake 7.1.
http://www.linux-mandrake.com/en/fupdates.php3
8. Microsoft Coporation
El Servicio de IIS FTP no es vulnerable
9. MIT Kerberos Development Team
Hasta el momento se sabe que el servicios usado por Kerberos para la
transferencia de archivos ftpd est'a basado en el ftpd BSD versi'on 5.40 y
parecen ser no vulnerables.
10. ProFTPD Project
Actuelizar a la versi'on ProFTPD 1.2.0
Recomendamos leer la discusi'on relativa a dicha vulnerabilidad en el
siguiente URL:
http://www.proftpd.org/proftpd-l-archive/00-07/msg00059.html
http://www.proftpd.org/proftpd-l-archive/00-07/msg00060.html
http://bugs.proftpd.net/show_bug.cgi?id=121
http://www.proftpd.net/security.html
11. OpenBSD
Se detecta que es Vulnerable, para corregirlo, recomendamos consultar el
siguiente URL:
http://www.openbsd.org/errata.html#ftpd
12. Redhat
Consultar el siguiente bolet'in expedido por la gente de RedHat.
http://www.redhat.com/support/errata/RHSA-2000-039-02.html
13. Slackware Linux Project
Aplicar los parches correspondientes para esta versi'on, disponibles en :
ftp://ftp.slackware.com/pub/slackware/slackware-7.1/patches/wu-ftpd-patch.README
14. Sun Microsystems
No vulnerable.
15. SuSE Ltd.
Recomendamos consultar :
http://www.suse.de/de/support/security/suse_security_announce_53.txt
16. WU-FTPD Development Group
Existen diversos sitios distribuidos en todo el mundo para la
actualizaci'on de dicho software, entre los principales est'an:
http://www.wu-ftpd.org/mirrors.txt
Actualiza tu versi'on de wu-ftpd.
La versi'on m'as actual del programa wu-ftpd es la 2.6.1 y la puedes
consultar de:
ftp://ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.1.tar.gz
ftp://ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.1.tar.gz.asc
ftp://ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.1.tar.Z
ftp://ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.1.tar.Z.asc
, , , , , , ,
* INFORMACION *
, , , , , , ,
Para Mayor Informaci'on o Detalles de este bolet'in contactar a:
'Area de Seguridad en C'omputo
DGSCA- UNAM
Tel : 56 22 81 69
Fax : 56 22 80 43
E-Mail : asc en conga.super.unam.mx
http://www.asc.unam.mx/boletines
ftp://ftp.asc.unam.mx
- ---
Juan Carlos Guel Lopez
Area de Seguridad en C'omputo E-mail: asc en conga.super.unam.mx
DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43
Circuito Exterior, C. U. WWW: http://www.asc.unam.mx/
04510 Mexico D. F. PGP: finger asc en ds5000.super.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i
iQEVAwUBOWrTqz6HeEeO/+C1AQGDNQgA5tVq1cerrRKjLNgcQdSgpPZPo8dPvtBC
qXIZAa8o1Tc0uVo3sTIUs0yBqMmInjUY6Ufx8wNhfkuXvShFpFf/kHIhouKLTrf7
LmT9flHH1sjEPvZMnb3L00BNfwryAzsy/uYYor6oYQ6NWJE/IaGgsF+nWraZve0e
ZHyaRJjNEqJGlSrEvBdvGcoqOX3lNv6+dQ1RVPO5mZJnhfkUMSS2fYb8qHBPDEQa
gRmw+aams2Ixn2dUhEGhhpHNELotJR5nXDWaC/yhSnzonPwPLdR0tmLbTfhIfgWR
8MCdSkekkauMx2NQkYqlW7vlFKvEt6xjX5q1iMeRLxxu2QrqzBonDA==
=J8S3
-----END PGP SIGNATURE-----
--
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux.org.mx
Para comandos adicionales, envíelo a: ayuda-help en linux.org.mx
Más información sobre la lista de distribución Ayuda