Más vulnerabilidades en línea de comandos: tnftp

Publicado el 5 noviembre 2014 ¬ 11:29 amh.mscComentarios desactivados en Más vulnerabilidades en línea de comandos: tnftp

Fallos identificados en wget y tnftp permiten a servidores ejecutar comandos maliciosos en sistemas de usuarios.

Tnftp es un port multiplataforma del cliente para BSD FTP original. Es el cliente FTP por defecto en NetBSD, FreeBSD, DragonFly BSD y Mac OS X, pero también está disponible para muchas distribuciones Linux.

Una vulnerabilidad parchada la semana pasada en tnftp permite a servidores maliciosos ejecutar comandos arbitrarios en el sistema del usuario. Este fallo tiene la clasificación CVE-2014-8517.
“Si tecleas ‘ftp http://server/path/file.txt’; y no especificas el nombre del archivo de salilda con un -o, el programa ftp puede ser empleado para ejecutar comandos arbitrarios”, dijo el especialista de seguridad de NetBSD, Alistar Crooks, en un mensaje a la lista de correos de Open Source Security. El correo de Crooks también incluye un parche creado por los desarrolladores de NetBSD.

El paquete tnftp colocado con OpenBSD no es vulnerable debido a algunos cambios realizados al código tiempo atrás, de acuerdo con la respuesta del desarrollador Stuart Henderson de OpenBSD.

Debian, Red Hat, Gentoo y Novell han publicado avisos de seguridad sobre el fallo de tnftp.

Crooks dijo que también informó a Apple del fallo, el cual está presente en OS X 10.010 (Yosemite), pero sólo recibió una “respuesta automática predeterminada” de la compañía.

Los fallos encontrados este año en OpenSSL, Bash, strings, wget y ahora tnftp indican una tendencia a encontrar nuevos fallos en código antigüo, dijo Rob VandenBrink, encargado del manejo de incidentes en el SANS Internet Storm Center. “Los programadores que escribieron código en C en aquellos días no siempre escribían código que estuviera correcto. Ahora estamos viendo los problemas con los límites, verificando los datos de entrada, ¡esperamos ver más fallos de esos!”.

El daño consiste en que estos fallos son encontrados en utilerías que muchas personas emplean cada día. Como VandenBrick dice “son parte de nuestro conjunto de herramientas estándar de confianza”.

Ver informacion original en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2002

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies