home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / gentoo_GLSA-200405-09.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  65 lines
  1. # This script was automatically generated from 
  2. #  http://www.gentoo.org/security/en/glsa/glsa-200405-09.xml
  3. # It is released under the Nessus Script Licence.
  4. # The messages are release under the Creative Commons - Attribution /
  5. # Share Alike license. See http://creativecommons.org/licenses/by-sa/2.0/
  6. #
  7. # Avisory is copyright 2001-2004 Gentoo Foundation, Inc.
  8. # GLSA2nasl Convertor is copyright 2004 Michel Arboi
  9.  
  10. if (! defined_func('bn_random')) exit(0);
  11.  
  12. if (description)
  13. {
  14.  script_id(14495);
  15.  script_version("$Revision: 1.1 $");
  16.  script_xref(name: "GLSA", value: "200405-09");
  17.  script_cve_id("CAN-2004-0432");
  18.  
  19.  desc = 'The remote host is affected by the vulnerability described in GLSA-200405-09
  20. (ProFTPD Access Control List bypass vulnerability)
  21.  
  22.  
  23.     ProFTPD 1.2.9 introduced a vulnerability that allows CIDR-based ACLs (such
  24.     as 10.0.0.1/24) to be bypassed. The CIDR ACLs are disregarded, with the net
  25.     effect being similar to an "AllowAll" directive.
  26.   
  27. Impact
  28.  
  29.     This vulnerability may allow unauthorized files, including critical system
  30.     files to be downloaded and/or modified, thereby allowing a potential remote
  31.     compromise of the server.
  32.   
  33. Workaround
  34.  
  35.     Users may work around the problem by avoiding use of CIDR-based ACLs.
  36.   
  37. References:
  38.     http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0432
  39.  
  40.  
  41. Solution: 
  42.     ProFTPD users are encouraged to upgrade to the latest version of the
  43.     package:
  44.     # emerge sync
  45.     # emerge -pv ">=net-ftp/proftpd-1.2.9-r2"
  46.     # emerge ">=net-ftp/proftpd-1.2.9-r2"
  47.   
  48.  
  49. Risk Factor : High
  50. ';
  51.  script_description(english: desc);
  52.  script_copyright(english: "(C) 2004 Michel Arboi");
  53.  script_name(english: "[GLSA-200405-09] ProFTPD Access Control List bypass vulnerability");
  54.  script_category(ACT_GATHER_INFO);
  55.  script_family(english: "Gentoo Local Security Checks");
  56.  script_dependencies("ssh_get_info.nasl");
  57.  script_require_keys('Host/Gentoo/qpkg-list');
  58.  script_summary(english: 'ProFTPD Access Control List bypass vulnerability');
  59.  exit(0);
  60. }
  61.  
  62. include('qpkg.inc');
  63. if (qpkg_check(package: "net-ftp/proftpd", unaffected: make_list("ge 1.2.9-r2"), vulnerable: make_list("eq 1.2.9-r1", "eq 1.2.9")
  64. )) { security_hole(0); exit(0); }
  65.