English

◀◁ 뒤로 취약점ID 16018 위험도 40 포트 21 프로토콜 TCP 분류 FTP 상세설명 해당 FTP 데몬은 'site exec' 명령에 Format String 취약점을 가지고 있다. 이 취약점은 "site exec" 명령어를 실행하는 과정에서 잘 조작된 문자 Format String들을 건넴으로써 FTP 서비스가 거부되게 하거나 삽입된 임의의 코드가 실행되도록 Segmentation Violation을 일으키게 할 수 있다. 임의의 계정으로 로그인한 후 다음과 같은 요청을 보냄으로써 FTP 클라이언트 프로그램을 이용하여 FTP 데몬을 테스트해 볼 수 있다: ftp> quote site exec %n %n %n %n %n %n %n Connection closed by foreign host * 영향을 미치는 플랫폼: Wu-ftpd 2.6.0 이하 OpenBSD ftpd 6.4 이하 FreeBSD Ports Collection 모든 버전 HP-UX 10.xx 그리고 11.0x ProFTPD 1.2.0rc2 미만 BSD ftpd 5.51 혹은 BSD ftpd 5.60 (마지막 BSD 릴리즈)에서 유래된 FTPD를 가동하는 시스템 * 참고 사이트: http://www.cert.org/advisories/CA-2000-13.html 해결책 ProFTPD의 경우: 다음 "The Professional FTP Daemon Project"의 웹사이트로부터 proftpd의 가장 최신버전 (ProFTPD 1.2.7)으로 업그레이드 하여야 한다: http://www.proftpd.org/download.html WU-FTPD의 경우: 다음 WU-FTPD Development Group 웹사이트로부터 WU-FTPD의 가장 최신버전 (2.6.2 이상)으로 업그레이드 하여야 한다: http://linux.softpedia.com/get/Internet/FTP/WU-dash-FTPD-304.shtml OpenBSD의 경우: OpenBSD 2000년 7월 5일자 보안 권고안을 참고하여 019_ftpd.patch 패치를 적용하여야 한다: ftp://ftp.openbsd.org/pub/OpenBSD/patches/2.7/common/019_ftpd.patch NetBSD의 경우: 다음 NetBSD 보안 권고안 2000-009을 참고하여 패치를 적용하여야 한다: ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/NetBSD-SA2000-009.txt.asc FreeBSD의 경우: 다음 보안 권고안 FreeBSD-SA-00:35을 참고하여 패치를 적용하여야 한다: ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:35.proftpd.asc HP-UX의 경우: 다음 HP IT Resource Center 페이지를 참고하여 적절한 패치 (Rev.03)를 적용하여야 한다: http://us-support.external.hp.com For HP-UX release 11.00 PHNE_21936, HP-UX release 11.04 PHNE_22060, HP-UX release 10.20 PHNE_22057, HP-UX release 10.24 PHNE_22059, HP-UX release 10.01 and 10.10 PHNE_22058. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)