anonymous@RULINUX.NET~# Last login: 2024-11-24 01:32:39
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

Ошибка в реализации функции glob() в различных Си-библиотеках, например в glibc и BSD libc, может быть использована удалённым атакующим, чтобы нарушить работу FTP/SFTP серверов. В связи с тем, что на многих серверах разрешён анонимный вход, ошибку легко эксплуатировать и многие программные продукты являются уязвимыми. В отчёте утверждается, что серверы даже таких крупных компаний, как Adobe и HP, подвержены этой проблеме.

Проблема возникла из-за того, что переменная GLOB_LIMIT, которую добавили в 2001 году для ограничения объёма памяти функцией glob() c целью защиты от аналогичной уязвимости, не эффективна. Проверка на совпадение (globbing) вызывает функцию glob(), чтобы сравнить список файлов с шаблоном и вернуть на выход список совпадающих файлов. В виду того, что GLOB_LIMIT не действует в ситуациях когда в пути фигурирует несуществующий путь, данная проблема теоретически позволяет исчерпать доступную процессу память, используя определённый шаблон ("*/../*/../*строка" или "{..,..,..}/*/{..,..,..}/*строка"), и, в зависимости от операционной системы и мощности оборудования, может привести к полной остановке работы или неожиданному завершению работы FTP/SFTP сервиса.

Уязвимость на данный момент подтверждена в следующих продуктах: OpenBSD 4.7, NetBSD 5.0.2, FreeBSD 7.3 / 8.1, Oracle Sun Solaris 10 и GNU Libc (glibc), поставляемой в Linux. Для демонстрации проблемы выпущен эксплоит. Разработчики NetBSD уже закрыли эту проблему, другие компании пока даже не заявляют о её существовании: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu, FreeBSD, OpenBSD.

Vsftpd проблеме не подвержен.

Источник Opennet.ru


>>> Подробнее

anonymous(*) (2010-10-07 21:15:54)


Подтверждено: gnomino(*) (2010-10-07 22:56:43)

[Ответить на это сообщение]

avatar
Скрыть

Re: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

Понравилось:

> Oracle Sun Solaris 10
Ждём в новостях новую версию этой замечательной ОС под названием Google Red Hat Microsoft IBM Novell Oracle Sun Solaris 42

HEBECTb_KTO(*)(2010-10-07 22:21:08)

avatar
Скрыть

Re: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

А я везде юзаю VSFtpd :))

gnomino(*)(2010-10-07 22:25:34)

(Mudilla/9.0 (XXX; U; *nix i686; ru; rv:1.8.1.11) Gecko/20132528 nonM$OS/5.2.14.11-1.5 Firefox/5.2.14.11)
avatar
Скрыть

Re: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

>Vsftpd проблеме не подвержен.
А proftpd?

SystemV(*)(2010-10-07 22:36:10)

Emacs-w3m/1.4.414 w3m/0.5.2
avatar
Скрыть

Re: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

proftpd подвержен...

И е№;вашумедь, модераторы флеймят в толксах и никто так новость и не апрувнул.

Может, ну его нах, новости на главной, давайте толкс стартовой сделаем ?

//Id

anonymous(*)(2010-10-07 22:52:41)

Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.1.13) Gecko/20100916 Iceweasel/3.5.13 (like Firefox/3.5.13)
avatar
Скрыть

Re: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

vsftpd. Проблемы шерифа не колышат.

AiFiLTr0(*)(2010-10-07 23:26:53)

Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Ubuntu/10.04 Chromium/5.0.375.127 Chrome/5.0.375.127 Safari/533.4
avatar
Скрыть

Re: Ошибка в библиотке libc привела к уязвимости большинства FTP-серверов

>Может, ну его нах, новости на главной, давайте толкс стартовой сделаем ?
Давайте лучше тракер )))

gnomino(*)(2010-10-07 23:49:41)

(Mudilla/9.0 (XXX; U; *nix i686; ru; rv:1.8.1.11) Gecko/20132528 nonM$OS/5.2.14.11-1.5 Firefox/5.2.14.11)
Этот тред читают 2 пользователя:
Анонимных: 2
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!