home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / CA-99-03-FTP-Buffer-Overflows.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  11.5 KB
  1. Date: Thu, 11 Feb 1999 18:17:10 -0500
  2. From: CERT Advisory <cert-advisory@cert.org>
  3. Reply-To: cert-advisory-request@cert.org
  4. To: cert-advisory@coal.cert.org
  5. Subject: CERT Advisory CA-99.03 - FTP-Buffer-Overflows
  6.  
  7. -----BEGIN PGP SIGNED MESSAGE-----
  8.  
  9. CERT Advisory CA-99-03-FTP-Buffer-Overflows
  10.  
  11.    Original issue date: February 11, 1999
  12.  
  13.    Topic: Remote buffer overflows in various FTP servers leads to
  14.    potential root compromise.
  15.    Source: Netect, Inc.
  16.  
  17.    To aid in the wide distribution of essential security information, the
  18.    CERT Coordination Center is forwarding the following information from
  19.    Netect, Inc. Netect, Inc. urges you to act on this information as soon
  20.    as possible. See Appendix C for Netect, Inc. contact information.
  21.    Please contact them if you have any questions or need further
  22.    information.
  23.  
  24.    =======================FORWARDED TEXT STARTS HERE===========================
  25.  
  26. Netect, Inc.
  27. General Public Security Advisory
  28.  
  29. % Advisory: palmetto.ftpd
  30. % Issue date: February 9, 1999
  31. % Contact: Jordan Ritter
  32. % Revision: February 11, 1999
  33.   % Update: Appendices A and B corrected.
  34.  
  35.  
  36. [Topic]
  37.  
  38. Remote buffer overflows in various FTP servers leads to potential root
  39. compromise.
  40.  
  41.  
  42. [Affected Systems]
  43.  
  44. Any server running the latest version of ProFTPD (1.2.0pre1) or the
  45. latest version of Wuarchive ftpd (2.4.2-academ[BETA-18]).  wu-ftpd is
  46. installed and enabled by default on most Linux variants such as RedHat
  47. and Slackware Linux.  ProFTPD is new software recently adopted by many
  48. major internet companies for its improved performance and reliability.
  49.  
  50. Investigation of this vulnerability is ongoing; the below lists
  51. software and operating systems for which Netect has definitive
  52. information.
  53.  
  54.  
  55. [Overview]
  56.  
  57. Software that implements FTP is called an "ftp server", "ftp daemon",
  58. or "ftpd".  On most vulnerable systems, the ftpd software is enabled
  59. and installed by default.
  60.  
  61. There is a general class of vulnerability that exists in several
  62. popular ftp servers.  Due to insufficient bounds checking, it is
  63. possible to subvert an ftp server by corrupting its internal stack
  64. space.  By supplying carefully designed commands to the ftp server,
  65. intruders can force the the server to execute arbitrary commands with
  66. root privilege.
  67.  
  68. On most vulnerable systems, the ftpd software is installed and enabled
  69. by default.
  70.  
  71.  
  72. [Impact]
  73.  
  74. Intruders who are able to exploit this vulnerability can ultimately
  75. gain interactive access to the remote ftp server with root privilege.
  76.  
  77.  
  78. [Solution]
  79.  
  80. Currently there are several ways to exploit the ftp servers in
  81. question.  One temporary workaround against an anonymous attack is to
  82. disable any world writable directories the user may have access to by
  83. making them read only.  This will prevent an attacker from building an
  84. unusually large path, which is required in order to execute these
  85. particular attacks.
  86.  
  87. The permanent solution is to install a patch from your Vendor, or
  88. locate one provided by the Software's author or maintainer.  See
  89. Appendices A and B for more specific information.
  90.  
  91. Netect strongly encourages immediate upgrade and/or patching where
  92. available.
  93.  
  94. Netect provides a strong software solution for the automatic detection
  95. and removal of security vulnerabilities.  Current HackerShield
  96. customers can protect themselves from this vulnerability by either
  97. visiting the Netect website and downloading the latest RapidFire(tm)
  98. update, or by enabling automatic RapidFire(tm) updates (no user
  99. intervention required).
  100.  
  101. Interested in protecting your network today?  Visit the Netect website
  102. at http://www.netect.com/ and download a FREE 30 day copy of
  103. HackerShield, complete with all the latest RapidFire(tm) updates to
  104. safeguard your network from hackers.
  105.  
  106.  
  107. [Appendix A, Software Information]
  108.  
  109. % ProFTPD
  110.  
  111.   Current version: 1.2.0pre1, released October 19, 1998.
  112.   All versions prior to 1.2.0pre1: vulnerable.
  113.   Fix: will be incorporated into 1.2.0pre2.
  114.  
  115.   Currently recommended action: upgrade to the new version when it
  116.     becomes available, or apply the version 1.2.0pre1 patch found at:
  117.  
  118.   ftp://ftp.proftpd.org/patches/proftpd-1.2.0pre1-path_exploit2.patch
  119.  
  120. % wu-ftpd
  121.  
  122.   Current version: 2.4.2 (beta 18), unknown release date.
  123.   All versions through 2.4.2 (beta 18): vulnerability dependant upon
  124.     target platform, probably vulnerable either due to OS-provided
  125.     runtime vulnerability or through use of replacement code supplied
  126.     with the source kit.  No patches have been made available.
  127.   Fix: unknown.
  128.  
  129.   Currently recommended action: Upgrade to wu-ftpd VR series.
  130.  
  131.   % wu-ftpd VR series
  132.  
  133.     Current version: 2.4.2 (beta 18) VR13, released January 28, 1999.
  134.     All versions prior to 2.4.2 (beta 18) VR10: vulnerable.
  135.     Fix: incorporated into VR10, released November 1, 1998.
  136.  
  137.     Available from:
  138.         ftp://ftp.vr.net/pub/wu-ftpd/
  139.     Filenames:
  140.         wu-ftpd-2.4.2-beta-18-vr13.tar.Z
  141.         wu-ftpd-2.4.2-beta-18-vr13.tar.gz
  142.  
  143. % BeroFTPD [NOT vulnerable]
  144.  
  145.   Current version: 1.3.3, released February 7, 1999.
  146.   All versions prior to 1.2.0: vulnerable.
  147.   Fix: incorporated into 1.2.0, released October 26, 1998.
  148.  
  149.   Available from:
  150.      ftp://ftp.croftj.net/usr/bero/BeroFTPD/
  151.      ftp://ftp.sunet.se/pub/nir/ftp/servers/BeroFTPD/
  152.      ftp://sunsite.cnlab-switch.ch/mirror/BeroFTPD/
  153.   Filename:
  154.      BeroFTPD-1.3.3.tar.gz
  155.  
  156. % NcFTPd [NOT vulnerable]
  157.  
  158.   Current version: 2.4.0, released February 6, 1999.
  159.   All versions prior to 2.3.4: unknown.
  160.  
  161.   Available from:
  162.      http://www.ncftp.com/download/
  163.  
  164.   Notes:
  165.  
  166.     % NcFTPd 2.3.4 (libc5) ftp server has a remotely exploitable bug
  167.        that results in the loss of the server's ability to log
  168.        activity.
  169.  
  170.     % This bug cannot be exploited to gain unintended or privileged
  171.        access to a system running the NcFTPd 2.3.4 (libc5) ftp
  172.        server, as tested.
  173.  
  174.     % The bug was reproducible only on a libc5 Linux system.  The
  175.        Linux glibc version of NcFTPd 2.3.4 ftp server is NOT
  176.        vulnerable.
  177.  
  178.     % The bug does not appear to be present in version NcFTPd 2.3.5 or
  179.        later.  Affected users may upgrade free of charge to the latest
  180.        version.
  181.  
  182.  
  183. Thanks go to Gregory Lundberg for providing the information regarding
  184. wu-ftpd and BeroFTPD.
  185.  
  186.  
  187. [Appendix B, Vendors]
  188.  
  189. % RedHat Software, Inc.
  190.  
  191.   % RedHat      Version 5.2 and previous versions ARE vulnerable.
  192.  
  193.   Updates will be available from:
  194.       ftp://updates.redhat.com/5.2/<arch>
  195.   Filename:
  196.       wu-ftpd-2.4.2b18-2.1.<arch>.rpm
  197.  
  198. % Walnut Creek CDROM and Patrick Volkerding
  199.  
  200.   % Slackware   All versions ARE vulnerable.
  201.  
  202.   Updates will be available from:
  203.       ftp://ftp.cdrom.com/pub/linux/slackware-3.6/slakware/n8/
  204.       ftp://ftp.cdrom.com/pub/linux/slackware-current/slakware/n8/
  205.   Filenames
  206.       tcpip1.tgz (3.6)     [971a5f57bec8894364c1e0d358ffbfd4]
  207.       tcpip1.tgz (current) [e1e9a9a50ad65bab1e120a7bf60f6011]
  208.  
  209.   Notes:
  210.  
  211.     % The md5 checksums are current for the above mentioned Revision
  212.      date only.
  213.  
  214. % Caldera Systems, Inc.
  215.  
  216.   % OpenLinux   Latest version IS vulnerable
  217.  
  218.   Updates will be available from:
  219.       ftp://ftp.calderasystems.com/pub/OpenLinux/updates/
  220.  
  221. % SCO
  222.  
  223.   % UnixWare    Version 7.0.1 and earlier (except 2.1.x) IS vulnerable.
  224.   % OpenServer  Versions 5.0.5 and earlier IS vulnerable.
  225.   % CMW+                  Version 3.0 is NOT vulnerable.
  226.   % Open Desktop/Server   Version 3.0 is NOT vulnerable.
  227.  
  228.   Binary versions of ftpd will be available shortly from the SCO ftp
  229.   site:
  230.       ftp://ftp.sco.com/SSE/sse021.ltr - cover letter
  231.       ftp://ftp.sco.com/SSE/sse021.tar.Z - replacement binaries
  232.  
  233.   Notes:
  234.  
  235.    This fix is a binary for the following SCO operating systems:
  236.  
  237.       % SCO UnixWare 7.0.1 and earlier releases (not UnixWare 2.1.x)
  238.       % SCO OpenServer 5.0.5 and earlier releases
  239.  
  240.    For the latest security bulletins and patches for SCO products,
  241.    please refer to http://www.sco.com/security/.
  242.  
  243. % IBM Corporation
  244.  
  245.   % AIX         Versions 4.1.x, 4.2.x, and 4.3.x ARE NOT vulnerable.
  246.  
  247. % Hewlett-Packard
  248.  
  249.   % HPUX        Versions 10.x and 11.x ARE NOT vulnerable.
  250.  
  251.   HP is continuing their investigation.
  252.  
  253. % Sun Microsystems, Inc.
  254.  
  255.   % SunOS       All versions ARE NOT vulnerable.
  256.   % Solaris     All versions ARE NOT vulnerable.
  257.  
  258. % Microsoft, Inc.
  259.  
  260.   % IIS         Versions 3.0 and 4.0 ARE NOT vulnerable.
  261.  
  262. % Compaq Computer Corporation
  263.  
  264.   % Digital UNIX                V40b - V40e ARE NOT vulnerable.
  265.   % TCP/IP(UCX) for OpenVMS     V4.1, V4.2, V5.0 ARE NOT vulnerable.
  266.  
  267. % Silicon Graphics, Inc. (SGI)
  268.  
  269.   % IRIX and Unicos
  270.  
  271.      Currently, Silicon Graphics, Inc. is investigating and no further
  272.      information is available for public release at this time.
  273.  
  274.      As further information becomes available, additional advisories
  275.      will be issued via the normal SGI security information distribution
  276.      method including the wiretap mailing list.
  277.  
  278.      Silicon Graphics Security Headquarters
  279.      http://www.sgi.com/Support/security/
  280.  
  281. % NetBSD
  282.  
  283.   % NetBSD      All versions ARE NOT vulnerable.
  284.  
  285. [Appendix C, Netect Contact Information]
  286.  
  287. Copyright (c) 1999 by Netect, Inc.
  288.  
  289. The information contained herein is the property of Netect, Inc.
  290.  
  291. The contact for this advisory is Jordan Ritter .  PGP
  292. signed/encrypted email is preferred.
  293.  
  294. Visit http://www.netect.com/ for more information.
  295.  
  296.    ========================FORWARDED TEXT ENDS HERE============================
  297.    ______________________________________________________________________
  298.  
  299.    This document is available from:
  300.    http://www.cert.org/advisories/CA-99-03-FTP-Buffer-Overflows.html.
  301.    ______________________________________________________________________
  302.  
  303. CERT/CC Contact Information
  304.  
  305.    Email: cert@cert.org
  306.           Phone: +1 412-268-7090 (24-hour hotline)
  307.           Fax: +1 412-268-6989
  308.           Postal address:
  309.           CERT Coordination Center
  310.           Software Engineering Institute
  311.           Carnegie Mellon University
  312.           Pittsburgh PA 15213-3890
  313.           U.S.A.
  314.  
  315.    CERT personnel answer the hotline 08:00-20:00 EST(GMT-5) / EDT(GMT-4)
  316.    Monday through Friday; they are on call for emergencies during other
  317.    hours, on U.S. holidays, and on weekends.
  318.  
  319. Using encryption
  320.  
  321.    We strongly urge you to encrypt sensitive information sent by email.
  322.    Our public PGP key is available from http://www.cert.org/CERT_PGP.key.
  323.    If you prefer to use DES, please call the CERT hotline for more
  324.    information.
  325.  
  326. Getting security information
  327.  
  328.    CERT publications and other security information are available from
  329.    our web site http://www.cert.org/.
  330.  
  331.    To be added to our mailing list for advisories and bulletins, send
  332.    email to cert-advisory-request@cert.org and include SUBSCRIBE
  333.    your-email-address in the subject of your message.
  334.  
  335.    * "CERT" and "CERT Coordination Center" are registered in the U.S.
  336.    Patent and Trademark Office
  337.    ______________________________________________________________________
  338.  
  339.    NO WARRANTY
  340.    Any material furnished by Carnegie Mellon University and the Software
  341.    Engineering Institute is furnished on an "as is" basis. Carnegie
  342.    Mellon University makes no warranties of any kind, either expressed or
  343.    implied as to any matter including, but not limited to, warranty of
  344.    fitness for a particular purpose or merchantability, exclusivity or
  345.    results obtained from use of the material. Carnegie Mellon University
  346.    does not make any warranty of any kind with respect to freedom from
  347.    patent, trademark, or copyright infringement.
  348.    ______________________________________________________________________
  349.  
  350. Revision History
  351.  
  352. -----BEGIN PGP SIGNATURE-----
  353. Version: 2.6.2
  354.  
  355. iQCVAwUBNsNeYHVP+x0t4w7BAQE6mAQAlD3tFRsp1NR+IG57AZHD2QyeyJuK5YRG
  356. wPyEqlACyQJOLm6ENFEHzaSRNUfZjUDlRGclguyVUHYq8nw7C1Yxwljulj+2sQcV
  357. Genph5A8KD8ry2vpinV7mlqsrbEfhZA0xdYztAXnktHByW6QtsBCRHr+n0f2CDtN
  358. aPujCLWXnuk=
  359. =BuDD
  360. -----END PGP SIGNATURE-----
  361.  
  362.