[Tech] Intruderrrrr!
Gianni Bianchini
giannibi@firenze.linux.it
Lun 18 Dic 2000 14:35:43 CET
On Mon, Dec 18, 2000 at 12:47:31PM +0100, carlo.orecchia@ritram.it wrote:
> Wu FTP 2.6.0(1). Mi avevanodetto che aveva un probleme e l'ho quindi
> sostituito con l'ultima versione che sono riuscito a reperire.
Wu-ftpd ha una storia di sicurezza piuttosto tormentata. Il gran
numero di bug scoperti puo' far credere due cose:
- E' scritto male da capo a piedi: lo sostituisco.
- Hanno trovato gia' un sacco di bachi, avranno quindi fatto un bel
po' di auditing sul codice, speriamo in bene e in ogni caso "so di
che morte dovro' morire".
Se hai la sola esigenza di offrire un ftp anonimo puoi usare daemon
leggeri e che girano senza bisogno di privilegi esosi, tipo
muddleftpd o anonftpd. Il primo, dopo qualche mal di testa con la
configurazione e qualche restrizione sui diritti, puoi usarlo anche
come ftpd non anonimo.
> coem funziona sto trucco (se si puņ spiegare)?
Wuftpd presenta(va) numerose vulnerabilita', dovute a una codifica un
po' "tirata via", per la presenza di overrun di buffer
o validazione maldestra dell'input dell'utente. L'ultima
vulnerabilita' ufficialmente diffusa (2.6) e' un mix letale di queste due
questioni. Cerca wuftpd nel database di www.securityfocus.com .
Ciao.
Gianni.
--
Gianni Bianchini - giannibi@firenze.linux.it
giannibi@iname.com
Maggiori informazioni sulla lista
flug-tech