FTP 伺服器 - ProFTPD發(fā)現(xiàn)安全漏洞
一款相當(dāng)好用且用戶廣泛的 FTP 伺服器 - ProFTPD,,日前被發(fā)現(xiàn)在處理 CIDR ACL 方面有安全上的漏洞。ProFTPD在4月28日 推出的 1.2.10rc1 已修正了此一問題,各大 Linux/BSD 廠商/組織,均已推出修補(bǔ)套件,因此會(huì)受到影響的版本是 1.2.9 (含) 以前的版本。
本文引用地址:http://m.butianyuan.cn/article/182708.htm據(jù)自由軟體技術(shù)交流網(wǎng)消息指出,ProFTPD 這次發(fā)現(xiàn)的安全漏洞就在於有心者可使用特殊攻擊手法繞過 CIDR ACL 的限制,原先 Deny 可能就變成 AllowALL,管理員所要限制(某些IP位址)存取的目錄位置,其保護(hù)功能就失效了。
所謂的 CIDR ACL 便指使用 CIDR 格式來表示存取控制位址的一份清單。其中CIDR 是 Classless Interdomain Routing 的簡稱,其格式例:192.168.1.0/24,ACL 則是 Access Control List 的簡稱,意即用來做為存取控制的清單。
目前使用 ProFTPD的管理員可以采取下列行動(dòng):
1. 升級(jí)至 1.2.10rc1;
2. 使用 rpm/deb/port/portage 者應(yīng)升級(jí)您的套件;
3. 暫不想升級(jí)者,應(yīng)避免使用 ProFTPD 的 CIDR ACL 功能,請(qǐng)改用 mod_wrap 搭配 /etc/hosts.allow, hosts.deny 或 ipchains/iptables/等其它 ipfilter 機(jī)制為之。
本文由 CTIMES 同意轉(zhuǎn)載,原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E4%B8%93%E7%94%A8%E7%BD%91%E9%99%85%E4%BC%BA%E6%9C%8D%E8%BD%AF%E4%BB%B6/0405201742JM.shtmll
評(píng)論