[Tech] Security problem (ftp)

Sergio Ballestrero s.ballestrero@firenze.linux.it
Ven 16 Nov 2001 10:16:36 CET


On Sat, 2001-11-10 at 11:20, Leonardo Boselli wrote:
    Avevo ftpd ssl ma mi sono accorto che chiunque poteva fare un 
    retrieve dei files in pub/incoming .... ossia che era diventato un 
    dropbox.
    ho messo wu-ftp e malgrado il file di configurazione che segue
    anonymous continua a fare il retrieve da ftp/pub/incoming
    la directory incoming ha permission:
    drwxr-x-wx    3 root     root         4096 Nov 10 11:09 incoming
    
    dove e`il problema (e`identico sia con ftpd=ssl che con wu-ftpd)
    ???????????????????
il primo problema e' l'esistenza di incoming..
    I files vamgono creati con modo 640 user ftp group ftp
    -*************************************
    # This file was generated by the KDE wu-ftpd configurator.
    # (c) 2000 by Bernhard Rosenkrdnzer (bero@redhat.com)
    upload                  yes
    noretrieve /home/ftp/pub/incoming/ /etc/passwd
il secondo probabilmente e' che ftpd anonymous gira in chroot, e quindi
la dir e' /pub/incoming per lui.

Ciao,
  S.

-- 
 War doesn't prove who's right,              Sergio Ballestrero
      just who's left.                 http://www.firenze.linux.it/~sash
GPG Key fingerprint = D974 2E34 B4C5 2EE6 0333  31BC 621B 0273 9FF7 BF97





Maggiori informazioni sulla lista flug-tech