Hosterların kullandığı servisler'le ilgili güvenlik duyurularını elimizden geldiğince paylaşmaya çalışıyoruz. Linux üzerinde bir çok hoster'ın tercih ettiği ProFTPD uygulamasında Orta seviyeli bir güvenlik açığı tespit edildi.
Kaynak: |
Security Focus |
|
Seviye: |
Orta |
Bildiri Sürümü: |
- |
Açıklanma Zamanı: |
02.12.2010 |
Yenilenme Zamanı: |
03.12.2010 |
Etkilenen Sistemler: |
ProFTPD 1.3.3c md5sum 8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2 ProFTPD 1.3.3c md5sum 4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz |
|
CVE: |
- |
BID: |
45150 |
Referanslar: |
Firma Ana Sayfa http://www.proftpd.org/ SecurityFocus http://www.securityfocus.com/bid/45150 |
Yazar(lar): |
Daniel Austin |
|
Açıklama: |
ProFTPD, 28 kasım-2 aralık 2010 tarihleri arasında arkakapı kurulumlu bir ProFTPD sürümünü dağıttı. Sürümün arkakapı kurulumlu olması sunucunun başlangıçta tespit edilmeden daha önce tehlikeli bir duruma düşmesine neden oldu. Saldırganlar zorla siteye girdiler ve kötü niyetli yazılımları siteye yüklediler.
|
Etki: |
Kötü niyetli yazılım yükleme. |
Çözüm: |
Firma gerekli yamaları yayınlamıştır. |
Kaynak : http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/proftpd-arkakapi-yetkisiz-erisim-acikligi.html
0fbcc7ab-5355-4f3c-99f7-5c69cecaa5b8|2|1.5
Uzaktan kod çalıştırma
Microsoft IIS FTP sunucusunun klasör isimlerini işlemesinde yığın bellek taşması açıklığı bulunmaktadır. Bu açıklığı kullanan saldırganlar açıklığın bulunduğu sunucu üzerinde uzaktan kod çalıştırabilirler.
Henüz yayınlanmış bir güncelleştirme bulunmamaktadır. İlgili açıklığın kullanımasını engellemek için şu önlemler alınabilir:
1. NTFS dosya izinleri FTP kullanıcılarının klasör yaratamayacağı şekilde ayarlanmalıdır.
2. Anonim kullanıcıların FTP dosya yazma hakkı kaldırılmalıdır.
Etkilenen Sistemler
Microsoft Windows 2000 SP4 - Microsoft IIS 5.0
Windows XP SP2 and Windows XP SP3 - Microsoft IIS 5.1
Windows XP Service x64 Edition SP2 - Microsoft IIS 6.0
Windows Server 2003 SP2 - Microsoft IIS 6.0
Windows Server 2003 x64 Edition SP2 - Microsoft IIS 6.0
Windows Server 2003 with SP2 for Itanium-based Systems - Microsoft IIS 6.0
Kaynaklar
187ffa29-fb7e-4366-994f-3aebb9d31788|1|1.0