Security Teams



» ДРУЗЬЯ: ::: Protocols.Ru ::: Grudina.INFO ::: Securityvulns.RU ::: Hack-Lab ::: ALP.org.ua :::
  Ответ в темуСоздание новой темы

> Множественные уязвимости в ProFTPD, 02 ноября, 2010
Kom@nd'Or
Дата 3.11.2010 - 02:54
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


Множественные уязвимости в ProFTPD

02 ноября, 2010

Программа: ProFTPD версии до 1.3.3c

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и скомпрометировать целевую систему.

1. Уязвимость существует из-за логической ошибки в функции pr_netio_telnet_gets() в файле src/netio.c при обработке пользовательских данных, содержащих Telnet IAC (Interpret As Command) escape-последовательность. Удаленный пользователь может с помощью специально сформированных данных, отправленных FTP или FTPS службе, вызвать переполнение стека и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки входных данных в модуле mod_site_misc. Удаленный пользователь может создать и удалить директории, символические ссылки или изменить файлы за пределами доступной на запись директории. Для успешной эксплуатации уязвимости приложение должно быть скомпилировано с поддержкой модуля mod_site_misc и атакующий должен иметь привилегии на запись в директорию.

URL производителя: www.proftpd.org

Решение: Установите последнюю версию 1.3.3c с сайта производителя.

Ссылки:

* https://www.proftpd.org/docs/NEWS-1.3.3c
* https://bugs.proftpd.org/show_bug.cgi?id=3521
* https://bugs.proftpd.org/show_bug.cgi?id=3519
PMICQYahoo
Top

Опции темы Ответ в темуСоздание новой темы

 





Знаки различия