English

◀◁ 뒤로 취약점ID 16060 위험도 40 포트 21 프로토콜 TCP 분류 FTP 상세설명 해당 ProFTPD 서버는 mod_sql 모듈을 통한 SQL injection 공격에 취약하다. ProFTPD 는 Unix 기반의 오픈 소스 FTP 서버 소프트웨어이다. mod_sql 모듈을 사용하는 ProFTPD 1.2.9rc1 이하 버전들은 SQL injection 공격에 취약하다. 이 취약점은 원격지의 사용자가 사용자와 패스워드없이 로그인 할 수 있게 해 준다. Mod_sql은 ProFTPD를 위한 인증모듈이다. 백엔드(backend) 모듈인 mod_sql_postgres은 사용자와 패스워드를 찾기위해 PostgreSQL 서버에 질의를 하는 사용자들을 인증하는데 사용된다. mod_sql_postgres 백엔드 모듈은 Escape 문자열들을 적절하게 걸러내지 못한다. 이는 사용자 로그인 과정에서 SQL 코드를 삽입할 수 있게 해 준다. 로그인에서 임의의 SQL 코드를 삽입함으로써 원격지의 공격자들은 사용자와 패스워드없이 비인가된 액세스를 얻어낼 수있다. 게다가 공격자는 자신의 로그인 사용자 ID(uid), 그룹 ID(gid), 경로(path) 등을 변경할 수도 있다. * 참고 사이트: http://www.securiteam.com/unixfocus/5LP0E2KAAI.html * 영향을 받는 플랫폼: ProFTPD 1.2.9rc1과 그 이전 버전들 Linux 모든 버전 Unix 모든 버전 해결책 다음 사이트를 참조하여 최신 버전의 ProFTPD(1.2.9이상)으로 업그레이드 해야 한다. http://www.proftpd.org/ 관련 URL CVE-2003-0500 (CVE) 관련 URL 7974 (SecurityFocus) 관련 URL 12369 (ISS)