----- Original Message ----- From: "Enzo Dari" <> Sent: Wednesday, May 22, 2002 10:31 AM Subject: Re: Servidor COMPROMETIDO (extenso ...) > Fernando R wrote: > > ... > > Sabian que el proftpd de potato configurado por default es vulnerable a DOS? > > No digo que esa sea la puerta de ingreso pero, esto del proftpd lo vivi en > > carne > > propia, entonces pienso, sera debian tan segura como uno cree? > > Hay alguna lista dedicada a la seguridad de debian? > > > > Esta es la version de potato (actualizada al dia de hoy) > > ProFTPD 1.2.0pre10 > > ... > Seguro? >
Si, seguro. Yo instale 22r3 desde los 3 cd's oficiales y todos los dias lo actualizo. Este bug esta presente (al menos hasta la 22r3 incluida). Es muy facil de comprobarlo, simplemente te conectas y ftp> ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../* luego vas haciendo "top" y veras como empieza a llenarse la swap hasta el infinito. > Yo estoy suscripto a la lista debian-security-announce, all� > el 5 de marzo del 2001 se corrigi� un DOS con la versi�n > 1.2.0pre10-2potato1 (DSA 029), el 7 de marzo del 2001 sali� > la versi�n 1.2.0pre10-2.0potato1 corrigiendo otros problemas, > fue el DSA 032. Al mes siguiente sali� potato r3 incorporando > estos cambios. Esta es mi version de proftpd (potato): debian:~# dpkg -l proftpd Desired=Unknown/Install/Remove/Purge/Hold | Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed |/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad) ||/ Name Version Description +++-==============-==============-========================================== == ii proftpd 1.2.0pre10-2.0 Versatile, virtual-hosting FTP daemon Como podes comprobar, tengo la que viene con potato. > > Si se trata de un fallo nuevo habr�a que reportarlo a > [EMAIL PROTECTED] Como se hace eso? (en castellano?) > M�s info: http://www.debian.org/security/ > Saludos, > Enzo. ,>/ Saludos Fernando -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
