Wykryto lukę w implementacji serwera wu-ftpd (Washington University FTP daemon) umożliwiającą anonimowemu użytkownikowi wykonanie dowolnego kodu z przywilejami roota.

Do wykorzystania luki (przepełnienie bufora) konieczne jest prawo zapisu na poziomie ftp, więc szczególnie narażone na atak są serwery, które udostępniają katalogi typu "incoming".

Luka dotyczy wersji od 2.5.0 do 2.6.2 włącznie.

Biuletyn CIAC: tutaj

Czytań: 400