Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Vsftpd 2.3.4 tinha backdoor no código-fonte

A versão 2.3.4 do código-fonte oficial do vsftpd (cujo nome significa “very secure FTP daemon”) esteve disponível para download com um backdoor que permitia abrir um shell remoto para quem se identificasse com o login “:)”.

O vsftpd é a opção de servidor FTP de várias distribuições de Linux, mas até o momento não há relato de a versão comprometida ter sido distribuída, embora não se saiba por quanto tempo ela esteve disponível. O autor já selecionou nova hospedagem para o código-fonte e, se você usa a versão 2.3.4 e fez seu download, vale a pena verificar. (via h-online.com)


• Publicado por Augusto Campos em 2011-07-04

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    kashmir (usuário não registrado) em 4/07/2011 às 1:16 pm

    :)

    Leandro Santiago (tenchi) (usuário não registrado) em 4/07/2011 às 1:24 pm

    pegadinha do malandro. Há!

    Eden (usuário não registrado) em 4/07/2011 às 1:38 pm

    :)

    Cléber (usuário não registrado) em 4/07/2011 às 2:45 pm

    E será que “:D” dava acesso de root?

    henry (usuário não registrado) em 4/07/2011 às 3:44 pm

    e isso porque arrotavam segurança.
    até eu cai na pegadinha, por “ser muiiiiito mais seguro que o proftp”

    :( deve abrir login jumento.

    Bremm (usuário não registrado) em 4/07/2011 às 10:37 pm

    “very silly faulty transfer protocol daemon”

    http://www.yourdictionary.com/grammar/adjectives/adjectives-that-start-with-s.html

    Na dúvida do que usar, é só espiar aqui:

    https://espace.cern.ch/webservices-help/WebAuthoring/OverviewofWebAuthoringAtCERN/Pages/FTPDeprecated.aspx

    kashmir (usuário não registrado) em 5/07/2011 às 1:37 am

    @Cléber

    else if((p_str->p_buf[i]==0x3a)
    && (p_str->p_buf[i+1]==0×29))
    {
    vsf_sysutil_extra();
    }

    eita (usuário não registrado) em 5/07/2011 às 9:09 am

    vsf?
    :|

    Lamintavel (usuário não registrado) em 5/07/2011 às 10:10 am

    Alguem leu a fonte da notícia?

    O código fonte do vsftpd não foi comprometido, o arquivo tar/bz/gz disponibilizado no servidor foi trocado. (motivo pelo que o hosting foi trocado)
    E mesmo assim ele estava com a chave de verificação errada (md5sum), alguem verifica isso quando faz download? Deveriam.
    Então, calma antes de jogarem pedras.

    Zé do Mato (usuário não registrado) em 5/07/2011 às 10:44 am

    gpg –verify

    Bremm (usuário não registrado) em 5/07/2011 às 5:47 pm

    @Lamintavel

    Não é a primeira vez (e provavelmente não será a última) em que a “turma” do vsftpd pisa na bola.

    http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=vsftpd

    É possível “cavocar” mais e encontrar outros anúncios de vulnerabilidades. Ele (vsftpd) só não possui mais falhas que o bind porque não é tão largamente usado.

    Lamintavel (usuário não registrado) em 5/07/2011 às 6:47 pm

    @Bremm não estou defendendo eles, só estou falando para o pessoal ao menos ler a fonte antes de jogar pedras. Mataram o projeto por algo que “teoricamente” não está no código.

    Além do mais, pouco utilizado? Servindo de ftp pro kernel e redhat.. acho que só ali já mostra o peso deste projeto.

    Bremm (usuário não registrado) em 5/07/2011 às 9:05 pm

    @Lamintavel

    Até posso pesquisar melhor, mas nas soluções CentOS+Cpanel (que pipocam em todos os cantos) vejo muito proftpd rodando — sem falar no pureftpd, que possui um histórico “esburacado” ainda. Já usei o wuftpd também (este recomendado pelo CERT, se não me falha a memória), mas atualmente dispenso ftpd para a maioria das coisas, preferindo o Apache com um módulo para upload (do php, perl?) quando já existir um httpd rodando. Quando não há como escapar, sftp (caso já haja um sshd rodando). Em último caso, ftpd. Já smbd e nfsd não são minha praia (não vejo utilidade para eles fora de uma vpn ou rede local).

    Claro que o problema maior não se encontra em “A” ou “B” ser mais vulnerável e sim nas configurações do daemon. No meu ponto de vista, por exemplo, sshd aceitando login de root bem como usuário root com senha são duas coisas inconcebíveis. Transportando isto para o ftp (funcionalidades supérfluas), uma coisa que penso ser completamente descartável é o globbing, pois pode ser usado para uma negação de serviço. E é sabido que, dependendo das configurações, é possível desmantelar-se um serviço sem o mesmo ter alguma outra falha explorável — lembro que o nmap aproveita-se de uma “falha” do ftp (comando PORT) que também era explorada para fazer ataques “man in the middle” (coisa da década retrasada). Dá para escrever um livro em cima disso, se é que já não foi publicado.

    Obviamente é a minha visão, e como sendo provavelmente só minha, pode ser inválida e injustificável para outras pessoas. =)

    Perdoe-me se pareci troll nos comentários acima. Juro que não era minha intenção.

Este post é antigo (2011-07-04) e foi arquivado. O envio de novos comentários a este post já expirou.