Naciśnij ESC aby zamknąć

WS_FTP 2007 “wsftpurl” – remote or not remote / AKTUALIZACJA!

Ten temat wydaje się być ciekawy. Wykorzystanie błędu, teoretycznie, jest
możliwe. Może się okazać jednak trudne. Dlaczego?
Oto problem:
http://www.securityfocus.com/archive/1/456755

Oto ciekawa odpowiedź w tej sprawie:
http://www.securityfocus.com/archive/1/457084/30/0/threaded

Niedługo pojawi się także moja odpowiedź dotycząca błędu w WS_FTP 2007.
Dotyczy ona plików FHF – czy istnieje możliwość zmuszenia WS_FTP do użycia
“wsftpurl” poprzez wysłanie pliku FHF? Taki plik nie może zostać osadzony na
stronie internetowej; mógłby natomiast pojawić się jako “muzyka” do ściągnięcia.

Oto stanowisko SecurityFocus, która potwierdza moje doniesienia, dotychczas nie udało się wykonać dowolnego kodu; SecurityFocus nie ustosunkowała się jeszcze do ew. użycia plików FHF:

Due to the nature of this issue, an attacker may be able to execute arbitrary machine code in the context of the affected kernel, but this has not been confirmed. Failed exploit attempts result in kernel panics, denying service to legitimate users.

Oto obecny BID:
http://www.securityfocus.com/bid/22062/info

Prosimy o przesyłanie pomysłów dotyczących możliwości zdalnego wykonania
kodu na adres: labs (at) hack (dot) pl.

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.