Este software quizá debería hacer honor a su slogan “probablemente el servidor FTP más seguro y rápido para sistemas UNIX”, pero al parecer no es así, recientemente se ha descubierto una puerta trasera, con el cual se podría tener acceso total y ejecución.
El fallo fue notificado por Mathias Kresin, un usuario que fue el primero en advertir del problema y podría llevar activo desde el pasado mes de febrero de 2011, fecha en la que se dió a conocer la versión 2.3.4.
El código añadido al servidor oficial ejecuta una consola en el puerto 6200 al identificar la cadena ":)" en el campo usuario de la conexión FTP. El código, que no se encuentra ofuscado ni cifrado, es fácilmente identificable mediante una herramienta de comparación de ficheros tipo "diff".
Para mas detalle: SecuritybyDefault
No hay comentarios:
Publicar un comentario