Re: Vulnerability in FTPD

From: Laust S. Jespersen (none@L--ust.dk.lh.bsd-dk.dk)
Date: Fri 20 Apr 2001 - 17:29:24 CEST

Next message: Bjarne Wichmann Petersen: "Stadig lidt småproblemer med tun0"
Previous message: Hroi Sigurdsson: "Re: Directory indexes i Apache 1.3.19"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: "Laust S. Jespersen" <none@L--ust.dk.lh.bsd-dk.dk>
To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Subject: Re: Vulnerability in FTPD
Date: Fri, 20 Apr 2001 17:29:24 +0200

> Bemærk at buggen ikke var i ftpd, men i libc's glob() funktion. Det var
> bare kun via ftpd at buggen kunne udnyttes udefra.
Korrekt - Proftpd bruger GNU versionen af libc og er fixed.

> > Sikkerhed er desuden noget dev folkene bag proftpd går op i.
> Muligvis. Det gør BSD-folkene skam også. ProFTPD er et meget mere
> komplekst stykke software end de forskellige BSD ftpd'er, hvilket
> betyder større muligheder for bugs. Så fra et sikkerhedsmæssigt
> synspunkt er proftpd ingen forbedring, de var blot heldige i denne
> omgang.
Det skulle nu ikke opfattes som om *BSD folkene tog let på sikkerhed,
nærmere
at Proftpd udviklerne heller ikke sløser med sikkerheden.
Det var desuden ment som et forslag til en forbedring i forhold til den
originale ftpd.
Proftpd kan nemlig en del flere finter, kig for eksempel på allowfilter
parametret der tager reg. exp. :)

Mhv
Laust
ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*

Next message: Bjarne Wichmann Petersen: "Stadig lidt småproblemer med tun0"
Previous message: Hroi Sigurdsson: "Re: Directory indexes i Apache 1.3.19"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:06 CET