Se descubre puerta trasera en VSFTPD 2.3.4.

Chris Evans, autor de VSFTPD, ha confirmado que alguien se las ingenió para reemplazar el paquete de la versión 2.3.4 con versión modificada con puerta trasera.

La alerta fue emitida ayer domingo, cuando alguien descargó el paquete tar.gz del sitio oficial y descubrió que la firma GPG era inválida. Se desconoce desde cuándo fue modificado o reemplazado el tar.gz o por cuáles medios se consiguió infiltrar la versión modificada con una puerta trasera.

El paquete modificado incluía código que respondía al ingreso del nombre de usuario «:)» y escuchaba peticiones en el puerto 6200, iniciando un intérprete de mandatos cuando alguien se conectaba.

Como medidad de seguridad, Evan movió el código fuente y sitio de VSFTPD a security.appspot.com/vsftpd.html. La versión de VSFTPD 2.3.4 auténtica se puede descargar desde este enlace, junto con la firma GPG correspondiente para validad la autenticidad.

Fuene de información: The H-Open.

Comentarios (0)


Alcance Libre
http://www.alcancelibre.org/article.php/se-descubre-puerta-trasera-vsftpd-2-3-4