SQL Injection: chiusa vulnerabilità per ProFTPD
Massimo Rabbi | 12 febbraio 2009 | 19:33E’ già in circolazione un exploit che sfrutta una recente vulnerabilità scoperta in ProFTPD 1.3.1.
Stando all’Internet Storm Center, sarebbero già cominciati i primi tentativi di sfruttare la vulnerabilità per ottenere l’accesso a server ftp in giro per il web.
La falla riguarda i moduli mod_sql_mysql e mod_sql_postgres utilizzati da coloro che hanno abilitato l’autenticazione degli utenti da database SQL.
L’attacco è di tipo SQL injection: mediante username e passwords “creati” usando caratteri multi-byte è possibile bypassare i metodi di “string escaping” e eseguire codice SQL.
Questo puo’ consentire di rilevare ad esempio la lista degli utenti o addirittura di effettuare un reset delle passwords.
Tutte quelle installazioni che usano un’autenticazione utente basata sul s.o. non corrono alcun rischio.
La versione 1.3.2 che corregge il problema è già disponibile.
A breve dovrebbe essere rilasciata anche una patch per le versioni 1.3.1.
A ruota dovrebbe seguire gli aggiornamenti automatici forniti da tutte le maggiori distribuzioni Linux.
Riferimenti:
- Encoding-dependent SQL injection vulnerability, ProFTPD bug report with patch.
- SQL injection vulnerability in ProFTPD closed, by Heise Security
