English

◀◁ 뒤로 취약점ID 16056 위험도 30 포트 21 프로토콜 TCP 분류 FTP 상세설명 Debian 2.2 (potato) 에 탑재되어 있는 ProFTPd 프로그램에는 다음과 같은 2가지 문제점이 존재한다. 1. 첫번째 문제점은 사용자의 의도와 무관하게 proftpd 데몬이 root 권한으로 동작하는 설정상의 오류이다. 이는 설치 시, 익명(anonymous)의 접속을 허용하기 위해 사용자가 "yes" 를 선택할 경우, /etc/proftpd.conf 파일에는 'run as uid/gid root' 설정 옵션이 그대로 남겨진 채 'run as uid/gid nobody' 설정 옵션이 추가되기 때문에 생겨난다. 2. /var이 심볼릭 링크인 상태에서 proftpd가 재시작될 때 버그가 존재한다. Proftpd가 중지할 때 /var 심볼릭 링크는 제거된다. 그리고 다시 시작될 때 /var 라는 이름의 파일이 생성된다. * 참고 사이트: http://www.debian.org/security/2001/dsa-032 * 영향을 받는 플랫폼: Debian 2.2 (potato) ProFTPd 버전 1.2.0pre10-2.0potato1 이전 패키지 해결책 현재 Debian 웹 사이트에서는 이 취약점에 대한 패치를 더 이상 지원하지 않고 있다. 벤더에 문의하여 proftpd의 가장 최신 버전 (proftpd-1.2.0pre10-2potato1 이상)으로 업그레이드 하여야 한다. 관련 URL CVE-2001-0456 (CVE) 관련 URL (SecurityFocus) 관련 URL 6208 (ISS)