绿盟安全月刊->第51期->最新漏洞 NetBSD ftpd多个远程安全漏洞

日期：2004-09-06

发布日期：2004-08-16
更新日期：2004-08-19

受影响系统：
NetBSD NetBSD 2.0
NetBSD NetBSD 1.6.2
NetBSD NetBSD 1.6.1
NetBSD NetBSD 1.6
NetBSD NetBSD 1.5.3
NetBSD NetBSD 1.5.2
NetBSD NetBSD 1.5.1
NetBSD NetBSD 1.5
描述：
--------------------------------------------------------------------------------
NetBSD是一款开放源代码的操作系统。

NetBSD包含的FTPD包含多个未明的漏洞，远程攻击者可以利用这些漏洞以root用户权限访问FTP所在系统。

Przemyslaw Frasunek在短期内会发布详细的漏洞细节。

<*来源：Przemyslaw Frasunek （venglin@freebsd.lublin.pl）
  
  链接：http://www.securitytracker.com/alerts/2004/Aug/1010968.html
*>

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改/etc/inetd.conf，注释如下行关闭FTPD：

#ftp    stream    tcp    nowait    root    /usr/libexec/ftpd    ftpd -ll
#ftp    stream    tcp6    nowait    root    /usr/libexec/ftpd    ftpd -ll

厂商补丁：

NetBSD
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* NetBSD-current:

  系统运行在2004-08-09之前的NetBSD-current版本必须升级到2004-08-10 NetBSD-current版本或者之后的版本。
  
  下面的目录必须从netbsd-current CVS branch (aka HEAD)升级:
  
  src/libexec/ftpd
  
  要升级CVS，重建和重安装ftpd：
  
        # cd src
        # cvs update -d -P src/libexec/ftpd
        # cd src/libexec/ftpd

        # make USETOOLS=no cleandir dependall
        # make USETOOLS=no install

  
* NetBSD 2.0_BETA:
    
    系统运行在2004-08-14之前的NetBSD 2.0_BETA 版本必须升级到2004-08-15 NetBSD-sources版本或者之后的版本。
    
    下面的目录必须从netbsd-2-0 CVS上升级:
        
        src/libexec/ftpd
        
    要升级CVS，重建和重安装ftpd：
  
        # cd src
        # cvs update -d -P src/libexec/ftpd
        # cd src/libexec/ftpd

        # make USETOOLS=no cleandir dependall
        # make USETOOLS=no install

    
* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6, 1.6.1, 1.6.2:

    系统运行NetBSD 1.5, 1.5.1, 1.5.2, 或1.5.3, 1.6, 1.6.1, 1.6.2版本必须升级到net/tnftpd-20040810:

    % rm /usr/libexec/ftpd
    % cd /usr/pkgsrc/net/tnftpd
    % cvs update -dP
    % make update