CERT-FI haavoittuvuustiedote 137/2010

3.9.2010

AIX-käyttöjärjestelmän ftpd-ohjelmiston haavoittuvuus paikattu

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- luottamuksellisen tiedon hankkiminen - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

AIX-käyttöjärjestelmän ftp-palvelinohjelmassa /usr/sbin/ftpd on puskurin ylivuodosta johtuva haavoittuvuus. Antamalla ylipitkän NLST-komennon yhteyden aikana hyökkääjä voi saada salasanojen DES-salatut tiivisteet, jos järjestelmässä on sallittu tiedostojen kirjoittaminen ftp-yhteyden kautta. Hyökkäyksen voi toteuttaa julkiseksi tarkoitetun anonymous ftp -tunnuksen avulla tai kirjautumalla palvelimelle olemassa olevalla käyttäjätunnuksella.

HAAVOITTUVAT OHJELMISTOT:

• /usr/sbin/ftpd -ohjelma AIX 5.3 -käyttöjärjestelmässä ja sitä aikaisemmissa versioissa
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto korjattuun versioon valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://aix.software.ibm.com/aix/efixes/security/ftpd_advisory.asc
• http://aix.software.ibm.com/aix/efixes/security/ftpd_ifix.tar
• http://www.exploit-db.com/exploits/14456/
• http://www.exploit-db.com/exploits/14409/

PÄIVITYSHISTORIA:

3.9.2010, kello 10.20: Julkaistu

Sivua päivitetty 03.09.2010

Tulostusversio