Spiga

Vulnerabilidad recursiva en proftpd

Hola!

Hoy he visto en los enlaces de la SECmana, en Security by default, que se ha descubierto que el servidor FTP principal de proftpd había sido comprometido y que el código de la versión 1.3.3 contenía una backdoor que permite a usuarios no identificados obtener acceso de root.

¡Qué divertido! Una vulnerabilidad en proftpd hace que las versiones de protfpd descargadas la semana pasada contuvieran otra... ¡me recuerda a Inception!

Pero la pregunta que se me ocurre es: ya de paso, ¿habrán arreglado la vulnerabilidad que ha permito modificar el código fuente de los ficheros alojados en el servidor FTP principal?

Si leemos el anuncio del descubrimiento en la web del propio proyecto, nos damos que cuenta de que la vulnerabilidad ya estaba arreglada, pero no la habían parcheado... ¡¡olé!!

En cualquier caso, se podría haber evitado esta situación si, como ya han hecho, el resumen del fichero original hubiera estado publicado en la web del proyecto y no sólo en el servidor FTP.

Así que, ya sabes, si te descargaste proftpd entre el día 28 de Noviembre y el 2 de Diciembre, casi seguro que te llevaste premio, ya que el servidor comprometido era el servidor de distribución rsync de todos los ftp espejo.
Y recuerda que, siempre que descargues un fichero, debes comprobar el resumen.

Un saludo!

0 comentarios: