Filed Under (software livre) by rafaelgomes on 26-11-2008
Recebi um e-mail do No-Ip, empresa que cadastro e mantenho meus hosts para ips dinâmicos. Nesse e-mail tinha um conselho para atualizar o meu cliente para plataforma Gnu/Linux utilizado.
Atualmente estou utilizando a versão 2.1.1, não atualizo eles há algum tempo em alguns clientes, por vários motivos, desde falta de tempo até possibilidade de downtime no servidor em questão.
Sendo assim, resolvi postar essa informação para que o máximo de pessoas tenham acesso, pois se trata de uma falha de segurança de um software que tem comunicação ativa com a internet, assim podendo ser uma “porta de entrada” para intrusos.
Segue abaixo detalhes sobre o problema:
Security Advisory – 2008-11-22
——————————
Summary:
Important: No-IP Linux DUC (Dynamic Update Client)
An updated version of the No-IP Linux Dynamic Update Client that fixes
a security issue is now available.
This update has been rated as having important security impact.
Description:
Versions 2.1.1- > 2.1.8 are prone to a stack-based buffer-overflow due to
a boundary error when processing HTTP responses received from the update
server. This can be exploited and cause a stack-based buffer overflow when
performing an update.
A malicious user could exploit this by faking the No-IP update server
via DNS poisoning or a man in the middle attack. This can cause a denial of
service (client crash) or
potentially execute arbitrary code on the computer the client is running on.
Users running versions 2.1.8 and older are encouraged to upgrade to the most
recent version, 2.1.9
at http://www.no-ip.com/downloads?page=linux&av=1
Regards,
The No-IP Team
