发布日期：2004-04-04
更新日期：2004-04-13

受影响系统：

oftpd oftpd 0.3.5
oftpd oftpd 0.3.4
oftpd oftpd 0.3.3
oftpd oftpd 0.3.2
oftpd oftpd 0.3.1
oftpd oftpd 0.3.0
oftpd oftpd 0.3.6
    - Debian Linux 3.0

不受影响系统：

oftpd oftpd 0.3.7

描述：

---

BUGTRAQ  ID: 9980
CVE(CAN) ID: CVE-2004-0376

oftpd是一款FTP服务程序。

oftpd对PORT命令参数缺少正确处理，远程攻击者可以利用这个漏洞对FTP服务程序进行拒绝服务攻击。

攻击者只要telnet oftpd服务程序监听的21端口，输入"port 300"，然后回车，服务程序就会崩溃。

<*来源：Philippe Oechslin
  
  链接：http://www.time-travellers.org/oftpd/oftpd-dos.html
        http://www.debian.org/security/2004/dsa-473
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2004/dsa-473

oftpd
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

oftpd Upgrade oftpd-0.3.7.tar.gz
http://www.time-travellers.org/oftpd/oftpd-0.3.7.tar.gz

浏览次数：3331
严重程度：0（网友投票）