Fallo grave de seguridad en el servidor FTP vsftpd de Linux

Escrito por Sergio De Luz
GNU Linux
3

Acabamos de enterarnos gracias a SecurityByDefault de un fallo grave de seguridad en el servidor FTP más famoso para sistemas operativos Linux, el VSFTPD.

Este servidor FTP es el más utilizado en Linux por su sencillez, por su seguridad y porque consume muy pocos recursos del sistema.

Podéis encontrar un manual de instalación y configuración de vsftpd aquí.

Este servidor FTP también es usado por el Firmware Tomato RAF, y es exactamente la versión 2.3.4 que es la afectada por este fallo de seguridad.

A continuación tenéis más detalles.

El fallo de seguridad consiste en introducir como nombre de usuario /:)/ (el famoso smile) y nos dará acceso total y ejecución de comandos en el servidor, únicamente está afectada la versión 2.3.4. La explicación técnica la podéis encontrar en el propio post de SecurityByDefault.

Hemos comprobado la versión que hay en el Synaptic de Ubuntu y es la versión 2.3.0 que no está afectada por este fallo de seguridad, los creadores han retirado esta última versión de su sitio web al conocerse la vulnerabilidad. Al menos, han sido rápidos en quitarlo.

Sin embargo la última versión de Tomato RAF sí usa la versión afectada, pero hemos comprobado que funciona correctamente:

Desde aquí recomendamos comprobar que vuestro servidor no esté afectado por este fallo de seguridad.


Continúa leyendo
  • ñañaña32

    Vaya manera de desinformar, ¿no?
    No es un fallo de seguridad del vsftpd, es que crackearon uno de los mirrors y subieron una versión troyanizada.
    A ver si nos enteramos mejor de las cosas.

    • si a eso lo llamas desinformación adelante. Pero el artículo es totalmente correcto y esta muy explicado en que consiste el fallo de seguridad, en ningún momento se hace mención la palabra troyano, de acuerdo pero si se explica en que consiste:

      …..El fallo de seguridad consiste en introducir como nombre de usuario /:)/ (el famoso smile) y nos dará acceso total y ejecución de comandos en el servidor…..

      y se indica donde hay mas información técnica acerca del tema.
      Menuda desinformación xD

  • jomimube

    Parace que no tiene argumentos para insistir en el troyano, ñañaña32. Dan opiniones sin argumentos.

    Muy bueno el tuto, sencillo y claro, gracias.