English

◀◁ 뒤로 취약점ID 16053 위험도 40 포트 21 프로토콜 TCP 분류 FTP 상세설명 해당 HP-UX ftpd는 glob() 확장에 있는 STAT 버퍼 오버플로우 취약점을 가지고 있다. 휴렛 패커드사의 HP-UX ftpd 11.04 이하 버전들은 스택 기반의 버퍼 오버플로우 취약점을 가지고 있다. 이 오버플로우는 STAT 명령이 glob()에 의해 처리되어 매우 긴 문자열로 확장되는 인수들을 받을 때 발생한다. 원격지의 공격자들은 이 취약점을 도용하여 취약한 호스트상에 임의의 코드를 실행시킬 수 있다. 이 취약점을 도용하기 위해서 공격자는 대상 호스트상에 디렉토리들을 생성할 수 있어야 한다. * 참고 사이트: http://www.cert.org/advisories/CA-2001-07.html http://www.securityfocus.com/advisories/3456 * 영향을 받는 플랫폼: HP-UX 10.01, 10.10, 10.20, 11.00 HP-UX 10.24 (VVOS), 11.04 (VVOS) 해결책 다음 휴렛 패커드의 웹 사이트를 참고하여 시스템에 적절한 패치를 구하여 적용하여야 한다: http://itrc.hp.com HP HP-UX 10.01: HP Patch PHNE_23947 HP HP-UX 10.10: HP Patch PHNE_23947 HP HP-UX 10.20: HP Patch PHNE_23948 HP HP-UX (VVOS) 10.24: HP Patch PHNE_24394 HP HP-UX 11.00: HP Patch PHNE_23949 HP HP-UX (VVOS) 11.0.4: HP Patch PHNE_24395 임시 조치방법으로 패치를 적용하기 전까지 FTP 서비스를 작동중지 하여야 한다. 이것이 어려우면 서비스에 대한 액세스를 제한한다. 익명(anonymous) 사용자들이 어떤 디렉토리들을 생성하거나 혹은 쓰기가 가능하도록 해 주어서는 안된다. 관련 URL CVE-2001-0248 (CVE) 관련 URL 2552 (SecurityFocus) 관련 URL 6332 (ISS)