新聞中心

EEPW首頁(yè) > 手機(jī)與無(wú)線通信 > CTIMES/產(chǎn)業(yè)評(píng)析 > FTP 伺服器 - ProFTPD發(fā)現(xiàn)安全漏洞

FTP 伺服器 - ProFTPD發(fā)現(xiàn)安全漏洞

作者:歐敏銓 時(shí)間:2004-05-20 來(lái)源:CTIMES 收藏

一款相當(dāng)好用且用戶廣泛的 FTP 伺服器 - ,,日前被發(fā)現(xiàn)在處理 ACL 方面有安全上的漏洞。在4月28日 推出的 1.2.10rc1 已修正了此一問(wèn)題,各大 Linux/BSD 廠商/組織,均已推出修補(bǔ)套件,因此會(huì)受到影響的版本是 1.2.9 (含) 以前的版本。

本文引用地址:http://m.butianyuan.cn/article/182708.htm

據(jù)自由軟體技術(shù)交流網(wǎng)消息指出, 這次發(fā)現(xiàn)的安全漏洞就在於有心者可使用特殊攻擊手法繞過(guò) ACL 的限制,原先 Deny 可能就變成 AllowALL,管理員所要限制(某些IP位址)存取的目錄位置,其保護(hù)功能就失效了。

所謂的 ACL 便指使用 CIDR 格式來(lái)表示存取控制位址的一份清單。其中CIDR 是 Classless Interdomain Routing 的簡(jiǎn)稱,其格式例:192.168.1.0/24,ACL 則是 Access Control List 的簡(jiǎn)稱,意即用來(lái)做為存取控制的清單。

目前使用 ProFTPD的管理員可以采取下列行動(dòng):

1. 升級(jí)至 1.2.10rc1;

2. 使用 rpm/deb/port/portage 者應(yīng)升級(jí)您的套件;

3. 暫不想升級(jí)者,應(yīng)避免使用 ProFTPD 的 CIDR ACL 功能,請(qǐng)改用 mod_wrap 搭配 /etc/hosts.allow, hosts.deny 或 ipchains/iptables/等其它 ipfilter 機(jī)制為之。

本文由 CTIMES 同意轉(zhuǎn)載,原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E4%B8%93%E7%94%A8%E7%BD%91%E9%99%85%E4%BC%BA%E6%9C%8D%E8%BD%AF%E4%BB%B6/0405201742JM.shtmll



關(guān)鍵詞: ProFTPD CIDR

評(píng)論


技術(shù)專區(qū)

關(guān)閉