DOS na FreeBSD 9.1 ftpd (w tym home.pl?)

Z reguły błędy odmowy usługi (DOS) nie mają istotnego znaczenia dla bezpieczeństwa sieci. Wyłączenie danej usługi nie jest tak krytyczne, jak możliwość zdalnego wykonania kodu. Inaczej może być w przypadku, gdy z usługi korzysta wiele serwisów.

Maksymilian Arciemowicz, polski analityk bezpieczeństwa, opublikował właśnie informacje o obecności starego błędu w usłudze FTP w najnowszej dystrybucji systemu FreeBSD. Błąd w bibliotece libc, polegający na nieprawidłowym przetwarzaniu nawiasów klamrowych użytych w poleceniu stat niektórych implementacji usługi FTP znany jest od roku 2011 (CVE-2011-0418). Mimo tego do tej pory nie został załatany w dystrybucji FreeBSD.

Błąd jest trywialny w wykorzystaniu. Wymaga możliwości zdalnego zalogowania się do serwera FTP (może być to dowolne konto, w tym anonymous) i wydania jednego polecenia

stat {a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}

Jego wykonanie po stronie serwera powoduje długotrwałe obciążenie procesora do poziomu 100%, uniemożliwiając dostęp do usług świadczonych przez serwer. Błąd w libc został już naprawiony w dystrybucjach NetBSD oraz OpenBSD a także w produktach Oracla i Appla. Jakimś cudem ostał się jednak we FreeBSD.

Przykład, jakie skutki może nieść ze sobą ten błąd w polskich warunkach, opublikował serwis Devilteam.pl (film poniżej). Sugeruje on, że z podatnej wersji oprogramowania korzysta firma hostingowa home.pl. Jeśli zatem posiadacie konto w home.pl i dajecie dostęp do serwera FTP niezaufanym użytkownikom, lepiej chwilowo zrezygnujcie z tej opcji.