RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

CAIS-ALR-05072000

Nova versão do Servidor FTP Wu-Ftpd

[CAIS, 05.07.2000, revisão 01]


O CAIS gostaria de informar que encontra-se disponível para download nova versão do servidor wu-ftpd: a 2.6.1.

Esta nova versão vem com o intuito de sanar uma recente vulnerabilidade encontrada na versao 2.6.0 (e anteriores) que, quando explorada, permite accesso remoto como usuário privilegiado (root).

Esta vulnerabilidade está relacionada ao comando ftp SITE EXEC, que permite que sejam executados comandos remotamente. Assim sendo, toda e qualquer versão que permita a execução deste comando estará vulnerável.
Sabe-se que versões de wu-ftpd que tenham sido compiladas com a opção "-enable--paranoid" não são vulneráveis, pois entre outras coisas esta opção desativa qualquer possibilidade de execução do comando SITE EXEC.

O CAIS recomenda fortemente a atualização do servidor wu-ftpd para a versão 2.6.1, lembrando de tomar os devidos cuidados para preservar-se os arquivos de configuração que estão sendo utilizados.

A homepage do wu-ftpd e a url para download seguem:

http://www.wu-ftpd.org/
ftp://ftp.wu-ftpd.org/pub/wu-ftpd/

Por último, o CAIS gostaria de informar que vem estudando alternativas relativas a servidores FTP, levando em conta a usabilidade e o quesito segurança. Assim que possível o CAIS estará liberando novidades quanto aos resultados dos testes e eventualmente a recomendação de um outro servidor FTP.



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais