ProFTPD ‘mod_sql’远程堆缓冲区溢出漏洞

漏洞起因
输入验证错误
危险等级
低

影响系统
ProFTPD Project ProFTPD 1.3.3 rc2
ProFTPD Project ProFTPD 1.3.3
ProFTPD Project ProFTPD 1.3.2 rc3
ProFTPD Project ProFTPD 1.3.2 rc2
ProFTPD Project ProFTPD 1.3.2
ProFTPD Project ProFTPD 1.3.1
ProFTPD Project ProFTPD 1.3.3c
ProFTPD Project ProFTPD 1.3.2c
ProFTPD Project ProFTPD 1.3.2b
ProFTPD Project ProFTPD 1.3.2a

不受影响系统

危害
远程攻击者可以利用漏洞可能以ROOT权限执行任意指令。

攻击所需条件
攻击者必须访问ProFTPD。

漏洞信息
ProFTPD是一款FTP服务程序。
ProFTPD sql_prepare_where()存在一个无界拷贝操作，攻击者可以利用漏洞进行基于堆的缓冲区溢出，成功利用漏洞可以以ROOT权限执行任意指令。

测试方法
http://phrack.org/issues.html?issue=67&id=7#article

厂商解决方案
目前没有详细解决方案提供：
http://www.proftpd.org/

漏洞提供者
FelineMenace

漏洞消息链接
http://phrack.org/issues.html?issue=67&id=7#article

← ProFTPD源入侵后门未授权访问漏洞

OpenSSL J-PAKE安全绕过漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

ProFTPD ‘mod_sql’远程堆缓冲区溢出漏洞

0 条评论。

发表评论