wu-ftpd file globbing DOS vulnerability

From(投稿者):	nide@ics.nara-wu.ac.jp (NIDE Naoyuki)
Newsgroups(投稿グループ):	fj.comp.security,fj.net.ftp
Subject(見出し):	wu-ftpd file globbing DOS vulnerability
Date(投稿日時):	Sun, 27 Feb 2005 09:26:05 GMT
Organization(所属):	Public NNTP Service, Kyoto University, JAPAN
Message-ID(記事識別符号):	(G) <050227182605.M0129651@hayabusa.ics.nara-wu.ac.jp>
Followuped-by(子記事):	(G) <050302035449.M0112092@azusa.ics.nara-wu.ac.jp>

From(投稿者):

nide@ics.nara-wu.ac.jp (NIDE Naoyuki)

Newsgroups(投稿グループ):

fj.comp.security,fj.net.ftp

Subject(見出し):

wu-ftpd file globbing DOS vulnerability

Date(投稿日時):

Sun, 27 Feb 2005 09:26:05 GMT

Organization(所属):

Public NNTP Service, Kyoto University, JAPAN

Message-ID(記事識別符号):

(G) <050227182605.M0129651@hayabusa.ics.nara-wu.ac.jp>

Followuped-by(子記事):

(G) <050302035449.M0112092@azusa.ics.nara-wu.ac.jp>

記事全体へのコマンド

  新出@奈良女子大学です。

  セキュリティホールmemoにも出てますが、wu-ftpdのfile globbingにDOS攻撃
を許す脆弱性が見つかったそうです。
  で、同memoでは、「wu_fnmatch.cのwu_fnmatch()で'*'を処理しているところ
の再帰に原因がある」というiDEFENSE Advisoryの指摘に疑義を示していますが、
ちょっと調べてみたところやはり違っているようで、本当の原因はglob.cの
amatch()での'*'の処理における再帰にあるようです。wu_fnmatch.cの
wu_fnmatch()で'*'を処理しているところは、'*'が連続しているときのoptimize 
処理をしていますから、それと同様なことをamatch()でもやるように直してみた
ら、少なくとも手元では、報じられている現象は出なくなりました。下のような
パッチです。
  このごろwu-ftpdは公式パッチが出るのが遅いような気がするので、とりあえ
ず報告まで。
                                                nide@ics.nara-wu.ac.jp

--- wu-ftpd-2.6.2.orig/src/glob.c       Fri Nov 30 02:01:38 2001
+++ wu-ftpd-2.6.2/src/glob.c    Sun Feb 27 18:05:29 2005
@@ -437,6 +437,7 @@
            continue;
 
        case '*':
+           while(*p == '*') ++p; /* CAN-2005-0256 */
            if (!*p)
                return (1);
            if (*p == '/') {

Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735