29 oct. 2014

tnFTP vulnerable en OSX 10.10 y NetBSD

En el día de hoy se ha notificado una vulnerabilidad grave en el cliente FTP tnftp basado en BSD, presente por defecto en todas las distribuciones de BSD, OSX y en decenas de distribuciones de Linux. Por ahora la vulnerabilidad se ha confirmado en OSX 10.10 (Yosemite), NetBSD 7.99.1, Debian y RedHat.

La vulnerabilidad identificada como CVE-2014-8517 permite ejecución de código y comandos arbitrarios. Según se reporta en varias listas, por ejemplo si se ejecuta:
ftp http://server/path/file.txt
Sin especificar un nombre de archivo como salida (opción -o), el cliente FTP puede ser "engañado" para ejecutar comandos arbitrarios a través de la redirección de URLs y comandos.

La vulnerabilidad fue encontrada por Jared Mcneill y ya ha sido reportada a los respectivos fabricantes que se encuentran trabajando en la solución.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!