ProFTPD CIDR访问控制规则绕过漏洞

漏洞信息详情

ProFTPD CIDR访问控制规则绕过漏洞

• CNNVD编号：CNNVD-200408-148
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0432
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-04-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  gentoo
• 漏洞来源：
  ProFTPD Project

ProFTPD是一款高可配置性的FTP服务程序。
ProFTPD的访问控制规则存在问题，远程攻击者可以利用这个漏洞绕过管理员设置的安全规则。
ProFTPD存在安全漏洞可导致在\”Allow\”和\”Deny\”选项的基于CIDR ACL条目执行类似\”AllowAll\”的规则，使管理员设置的访问失败。

厂商补丁：
MandrakeSoft
————
MandrakeSoft已经为此发布了一个安全公告(MDKSA-2004:041)以及相应补丁:

MDKSA-2004:041：Updated ProFTPD packages fix vulnerability

链接：http://www.linux-mandrake.com/en/security/2004/2004-041.php” target=”_blank”>
http://www.linux-mandrake.com/en/security/2004/2004-041.php

补丁下载：

Updated Packages:

Mandrakelinux 10.0:

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/10.0/RPMS/proftpd-1.2.9-3.1.100mdk.i586.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/10.0/RPMS/proftpd-anonymous-1.2.9-3.1.100mdk.i586.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/10.0/SRPMS/proftpd-1.2.9-3.1.100mdk.src.rpm

_______________________________________________________________________

To upgrade automatically use MandrakeUpdate or urpmi. The verification

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：

http://www.mandrakesecure.net/en/ftp.php” target=”_blank”>
http://www.mandrakesecure.net/en/ftp.php

来源: BID
名称: 10252
链接:http://www.securityfocus.com/bid/10252

来源: XF
名称: proftpd-cidr-acl-bypass(16038)
链接:http://xforce.iss.net/xforce/xfdb/16038

来源: SECUNIA
名称: 11527
链接:http://secunia.com/advisories/11527

来源: TRUSTIX
名称: 2004-0025
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108335030208523&w=2

来源: bugs.proftpd.org
链接:http://bugs.proftpd.org/show_bug.cgi?id=2267

来源: MANDRAKE
名称: MDKSA-2004:041
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2004:041

来源: BUGTRAQ
名称: 20040430 [OpenPKG-SA-2004.018] OpenPKG Security Advisory (proftpd)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108335051011341&w=2