发布日期：2003-01-28
更新日期：2003-02-01

受影响系统：

Sun Solaris in.ftpd
    - Sun Solaris 9.0 x86
    - Sun Solaris 9.0 SPARC
    - Sun Solaris 8.0 x86
    - Sun Solaris 8.0
    - Sun Solaris 7.0 x86
    - Sun Solaris 7.0
    - Sun Solaris 2.6 x86
    - Sun Solaris 2.6

描述：

---

BUGTRAQ  ID: 6709
CVE(CAN) ID: CVE-2003-1075

Solaris是Sun公司的一个著名的UNIX操作系统产品，应用非常广泛。

Solaris in.ftpd是FTP服务器的守护进程。远程攻击者可以利用Solaris in.ftpd的一个漏洞对主动模式连接的合法用户产生拒绝服务。

FTP客户端的任何命令可能会导致周期性的拒绝服务（默认60秒），和FTP服务器进行主动模式连接的FTP客户端在这期间将停止对命令的响应直到超时。

<*来源：Sun Security Alert
  
  链接：http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50240
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Sun在公告里提供了解决方法，在FTP服务器产生拒绝服务的时候使用被动模式连接：

$ ftp
ftp> passive
Passive mode on.
ftp> open remotehost

或

$ ftp -p remotehost

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-50240）:
Sun-Alert-50240：Solaris FTP Server (in.ftpd(1M)) is Vulnerable to Denial of Service Attack
链接：http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50240

暂时还未提供补丁下载。

浏览次数：3116
严重程度：0（网友投票）