安全研究

安全漏洞
NetBSD ftpd多个远程安全漏洞

发布日期:2004-08-16
更新日期:2004-08-19

受影响系统:
NetBSD NetBSD 2.0
NetBSD NetBSD 1.6.2
NetBSD NetBSD 1.6.1
NetBSD NetBSD 1.6
NetBSD NetBSD 1.5.3
NetBSD NetBSD 1.5.2
NetBSD NetBSD 1.5.1
NetBSD NetBSD 1.5
描述:
NetBSD是一款开放源代码的操作系统。

NetBSD包含的FTPD包含多个未明的漏洞,远程攻击者可以利用这些漏洞以root用户权限访问FTP所在系统。

Przemyslaw Frasunek在短期内会发布详细的漏洞细节。

<*来源:Przemyslaw Frasunek (venglin@freebsd.lublin.pl
  
  链接:http://www.securitytracker.com/alerts/2004/Aug/1010968.html
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 修改/etc/inetd.conf,注释如下行关闭FTPD:

#ftp    stream    tcp    nowait    root    /usr/libexec/ftpd    ftpd -ll
#ftp    stream    tcp6    nowait    root    /usr/libexec/ftpd    ftpd -ll

厂商补丁:

NetBSD
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

* NetBSD-current:

  系统运行在2004-08-09之前的NetBSD-current版本必须升级到2004-08-10 NetBSD-current版本或者之后的版本。
  
  下面的目录必须从netbsd-current CVS branch (aka HEAD)升级:
  
  src/libexec/ftpd
  
  要升级CVS,重建和重安装ftpd:
  
        # cd src
        # cvs update -d -P src/libexec/ftpd
        # cd src/libexec/ftpd

        # make USETOOLS=no cleandir dependall
        # make USETOOLS=no install

  
* NetBSD 2.0_BETA:
    
    系统运行在2004-08-14之前的NetBSD 2.0_BETA 版本必须升级到2004-08-15 NetBSD-sources版本或者之后的版本。
    
    下面的目录必须从netbsd-2-0 CVS上升级:
        
        src/libexec/ftpd
        
    要升级CVS,重建和重安装ftpd:
  
        # cd src
        # cvs update -d -P src/libexec/ftpd
        # cd src/libexec/ftpd

        # make USETOOLS=no cleandir dependall
        # make USETOOLS=no install

    
* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6, 1.6.1, 1.6.2:

    系统运行NetBSD 1.5, 1.5.1, 1.5.2, 或1.5.3, 1.6, 1.6.1, 1.6.2版本必须升级到net/tnftpd-20040810:

    % rm /usr/libexec/ftpd
    % cd /usr/pkgsrc/net/tnftpd
    % cvs update -dP
    % make update

浏览次数:2864
严重程度:10(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障