发布日期：2004-04-30
更新日期：2004-05-09

受影响系统：

ProFTPD Project ProFTPD 1.2.9
    - Mandrake Linux 10.0
    - Slackware Linux 9.1
    - Slackware Linux 9.0
    - Slackware Linux 8.1

描述：

---

BUGTRAQ  ID: 10252
CVE(CAN) ID: CVE-2004-0432

ProFTPD是一款高可配置性的FTP服务程序。

ProFTPD的访问控制规则存在问题，远程攻击者可以利用这个漏洞绕过管理员设置的安全规则。

ProFTPD存在安全漏洞可导致在"Allow"和"Deny"选项的基于CIDR ACL条目执行类似"AllowAll"的规则，使管理员设置的访问失败。

<*来源：ProFTPD Project
  
  链接：http://www.linux-mandrake.com/en/security/2004/2004-041.php
*>

建议：

---

厂商补丁：

MandrakeSoft
------------
MandrakeSoft已经为此发布了一个安全公告（MDKSA-2004:041）以及相应补丁:
MDKSA-2004:041：Updated ProFTPD packages fix vulnerability
链接：http://www.linux-mandrake.com/en/security/2004/2004-041.php

补丁下载：

Updated Packages:

Mandrakelinux 10.0:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/10.0/RPMS/proftpd-1.2.9-3.1.100mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/10.0/RPMS/proftpd-anonymous-1.2.9-3.1.100mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/10.0/SRPMS/proftpd-1.2.9-3.1.100mdk.src.rpm
_______________________________________________________________________

To upgrade automatically use MandrakeUpdate or urpmi.  The verification

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：
http://www.mandrakesecure.net/en/ftp.php

浏览次数：3680
严重程度：0（网友投票）