English

◀◁ 뒤로 취약점ID 16040 위험도 40 포트 21 프로토콜 TCP 분류 FTP 상세설명 해당 ProFTPD 데몬은 연속되는 MKD와 CWD 명령들을 통한 버퍼 오버플로우(Buffer Overflow) 공격에 취약하다. 이 취약점은 원격지 공격자가 인가된 사용자나 익명(anonymous)의 사용자 권한으로 로그인한 후, 다음과 같이 길이가 255 문자 이하의 긴 디렉토리명을 갖는 디렉토리를 생성하고자 할 때 발생하게 된다. MKD aaaaaaa….['a' * 254]....aaaaaaaa CWD aaaaaaa....['a' * 254]....aaaaaaaa 이러한 시도는 공격자로 하여금 서버의 시스템 권한의 획득과 서버 상에서 임의의 코드 실행을 가능하게 해 주며 또한, 원격으로 FTP 서버 자체를 크래쉬(crash) 시킬 수도 있다. * 참고 사이트: http://online.securityfocus.com/bid/612 http://www.iss.net/security_center/static/3399.php * 영향받는 플랫폼들: ProFTPD 1.2 pre1 ProFTPD 1.2 pre2 ProFTPD 1.2 pre3 ProFTPD 1.2 pre4 ProFTPD 1.2 pre5 해결책 ProFTPD 웹 사이트 http://www.proftpd.org/download.html 를 참고하여 ProFTPD 1.2pre7 나 그 이후 버전들로 업그레이드 해야 한다. 현재 가장 최신 버전인 ProFTPD 1.2.8rc1 이 2002년 12월 28일에 릴리즈(release) 되었다. 임시 방편으로, FTP 서버 상에서 인가된 사용자나 익명의 사용자들에 의해 쓰기권한이 주어진 디렉토리를 제거한다. 관련 URL CVE-1999-0911 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)