NetBSD ftpd可破坏防火墙状态表漏洞
发布日期:2002-11-21
更新日期:2002-11-27
受影响系统:NetBSD ftpd
- NetBSD 1.6
- NetBSD 1.5.3
- NetBSD 1.5.2
- NetBSD 1.5.1
- NetBSD 1.5
描述:
BUGTRAQ ID:
6225
NetBSD是一款开放源代码UNIX操作系统。
NetBSD ftpd不正确应答畸形STAT命令请求,远程攻击者可以利用这个漏洞破坏防火墙中FTP客户端和NETBSD FTP服务器的状态表。
当文件名包含"\n[0-9]"时,NetBSD ftpd应答STAT命令使用了不标准的规则。这可以导致恶意一方破坏防火墙服务中相关FTP客户端和NetBSD FTP服务之间的状态表。
根据RFC959,如果非应答数字出现在FTP控制流中,必须在其之前通过插入空格绕过,而NetBSD ftpd没有遵循这个规则执行,可破坏基于状态表的FTP通信。
<*来源:NetBSD Security Advisory
链接:
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-027.txt.asc
*>
建议:
厂商补丁:
NetBSD
------
NetBSD已经为此发布了一个安全公告(NetBSD-SA2002-027)以及相应补丁:
NetBSD-SA2002-027:ftpd STAT output non-conformance can deceive firewall devices
链接:
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-027.txt.asc
补丁下载:
* NetBSD-current:
系统运行在2002-10-26之前的NetBSD-current版本必须升级到2002-10-26 NetBSD-current版本或者之后的版本。
下面的目录必须从netbsd-current CVS branch (aka HEAD)升级:
libexec/ftpd
要升级CVS,重建和重安装ftpd:
# cd src
# cvs update -d -P libexec/ftpd
# cd libexec/ftpd
# make cleandir dependall
# make install
* NetBSD 1.6:
系统运行在2002-11-02之前的NetBSD 1.6 sources版本必须升级到2002-11-02 NetBSD-sources版本或者之后的版本。
下面的目录必须从netbsd-1-6 CVS branch上升级:
libexec/ftpd
要升级CVS,重建和重安装ftpd:
# cd src
# cvs update -d -P -r netbsd-1-6 libexec/ftpd
# cd libexec/ftpd
# make cleandir dependall
# make install
* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:
系统运行在2002-10-26之前的NetBSD 1.5, 1.5.1, 1.5.2, 或1.5.3版本必须升级到2002-10-26 NetBSD 1.5.* sources版本或者之后的版本。
下面的目录必须从netbsd-1-5 CVS branch上升级:
libexec/ftpd
要升级CVS,重建和重安装ftpd:
# cd src
# cvs update -d -P -r netbsd-1-5 libexec/ftpd
# cd libexec/ftpd
# make cleandir dependall
# make install
浏览次数:2907
严重程度:0(网友投票)