CERT-FI haavoittuvuustiedote 051/2003

1.8.2003

Haavoittuvuus WU-FTPD -ohjelmistossa


Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

FTP (File Transport Protocol) on verkon kautta tapahtuvaan tietojärjestelmien väliseen tiedostojen siirtoon tarkoitettu protokolla. WU-FTPD on suosittu FTP-palvelinohjelmisto Unix- ja Linux-käyttöjärjestelmäympäristöissä.

WU-FTPD -ohjelmistosta on löydetty puskuriylivuotohaavoittuvuus, jota hyväksikäyttämällä FTP-palvelimelle kirjoitusoikeudet omaavan käyttäjän on mahdollista saada palvelimen pääkäyttäjäoikeudet.

HAAVOITTUVAT OHJELMISTOT:

WU-FTPD ohjelmistoversiot 2.5.0 - 2.6.2.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva WU-FTPD -ohjelmisto.

Haavoittuvuuden hyväksikäyttöä voidaan estää rajoittamalla FTP-palvelun käyttöä, erityisesti poistamalla tarpeettomat kirjoitusoikeudet FTP-palvelimelle.