FreeBSD 9.1 ftpd Remote DOS

 ( trey | 2013. február 3., vasárnap - 14:28 )

A FD levlistán jelezte Maksymilian Arciemowicz, hogy a FreeBSD 9.1 ftpd távolról DOS-olható. Az "anonymous"-ként kapcsolódó távoli támadó 100% processzorhasználatot idézhet elő a sebezhető rendszeren. A bejelentő szerint több FreeBSD tükörszerver (ftp.uk.freebsd.org, ftp.ua.freebsd.org, ftp5.freebsd.org, ftp5.us.freebsd.org, ftp10.freebsd.org, ftp3.uk.freebsd.org, ftp7.ua.freebsd.org, ftp2.se.freebsd.org, ftp2.za.FreeBSD.org, ftp2.ru.freebsd.org, ftp2.pl.freebsd.org stb.) is érintett.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hat ez ciki, ezen nincs mit tagadni (sajnos volt mar ilyen a vilagtortenelemben, hogy vaamit nem jol javitottak).
Ellenben azt nem ertem, mi a francot keresnek a hivatozott level vegen a kovetkezo infok:

"
NetBSD and OpenBSD has fixed this issue in glob(3)/libc (2011) ....
Libc was also vulnerable in Apple and Oracle products. ....
only FreeBSD and GNU glibc are affected.
"

Ez az utolso mondat mit takar? Ha ez a multra vonatkozik, akkor nem igaz, hisz fentebb emlitett 2 masik BSD-t, meg egy Apple/Oracle hibat. Ha a jelenre, akkor meg Linux alatt is van ahol ez jeleneg problemas?

Valószínűleg mindegyik érintett javította 2010 vagy 2011-ben, kivéve a FreeBSD:

http://www.cvedetails.com/cve/CVE-2010-4754/

Idézet:
It's an old issue (first reported in 2010) which was fixed in head last December:

http://svnweb.freebsd.org/base?view=revision&revision=243779

I have no idea why it hasn't been merged.

DES

--
trey @ gépház

(Azért az se semmi, hogy a 2010-es első bejelentéshez képest 2-3 évvel később történt meg a javítás - a fejlesztői ágban.)