安全研究
安全漏洞
ProFTPD _xlate_ascii_write()远程缓冲区溢出漏洞
发布日期:2004-03-02
更新日期:2004-03-09
受影响系统:ProFTPD Project ProFTPD 1.2.9 rc2
ProFTPD Project ProFTPD 1.2.9 rc1
ProFTPD Project ProFTPD 1.2.7
ProFTPD Project ProFTPD 1.2.8
- Slackware Linux 9.0
- Slackware Linux 8.1
不受影响系统:ProFTPD Project ProFTPD 1.2.9 rc3
ProFTPD Project ProFTPD 1.2.9
描述:
BUGTRAQ ID:
9782
CVE(CAN) ID:
CVE-2004-0346
ProFTPD是一款高可配置性的FTP服务程序。
ProFTPD包含的_xlate_ascii_write()函数缺少正确的边界检查,远程攻击者可以利用这个漏洞进行缓冲区溢出,可以FTP进程权限在系统上执行任意指令。
_xlate_ascii_write()函数在对session.xfer.buf的缓冲区检查缺少精确的检查,攻击者可以覆盖此缓冲区临近的两个内存字节,因此可能控制指令,以FTP进程权限远程执行任意代码。攻击者可以发布RETR命令来触发此漏洞。
<*来源:Phantasmal Phantasmagoria (
phantasmal@hush.ai)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=107824679817240&w=2
*>
建议:
厂商补丁:
ProFTPD Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ProFTPD Project Upgrade ProFTPD 1.2.9
http://proftpd.linux.co.uk/download.html浏览次数:5022
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |