Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
ProFTPD FTP Server
(1.2.0pre1, 1.3.0rc3)
Описание
Если Auth API в ProFTPD сконфигурирован так, что одновременно работают нескольких модулей аутентификации, то не требуется, чтобы модуль, который проверяет авторизационные данные, и модуль, который получает эти данные, совпадали, что может позволить злоумышленникам, действующим удаленно, обойти процесс авторизации, как показано на примере использования SQLAuthTypes Plaintext в mod_sql, с данными, полученными из /etc/passwd.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.proftpd.org/
http://www.proftpd.org/
Ссылки
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=419255
http://bugs.proftpd.org/show_bug.cgi?id=2922
BID (23546): http://www.securityfocus.com/bid/23546
FRSIRT (ADV-2007-1444): http://www.frsirt.com/english/advisories/2007/1444
SECTRACK (1017931): http://securitytracker.com/id?1017931
XF (proftpd-authapi-security-bypass(33733)): http://xforce.iss.net/xforce/xfdb/33733
http://bugs.proftpd.org/show_bug.cgi?id=2922
BID (23546): http://www.securityfocus.com/bid/23546
FRSIRT (ADV-2007-1444): http://www.frsirt.com/english/advisories/2007/1444
SECTRACK (1017931): http://securitytracker.com/id?1017931
XF (proftpd-authapi-security-bypass(33733)): http://xforce.iss.net/xforce/xfdb/33733
