漏洞信息详情

ProFTPD字符编码SQL注入漏洞

• CNNVD编号：CNNVD-200902-287
• 危害等级： 中危
  
• CVE编号： CVE-2009-0543
• 漏洞类型： SQL注入
• 发布时间： 2009-02-12
• 威胁类型： 远程
• 更新时间： 2009-06-09
• 厂        商： proftpd
• 漏洞来源： TJ Saunders※ tj@ca...

漏洞简介

ProFTPD是一款开放源代码FTP服务程序。

ProFTPD在执行SQL查询之前没有正确地设置字符编码，攻击者可以在向服务器提交的SQL命令中内嵌无效编码的多字节字符，以绕过标准字符转义方式在服务器上执行恶意命令。成功攻击要求启用了NLS支持。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://bugs.proftpd.org/attachment.cgi?id=2945&action=view

参考网址

来源: MLIST

名称: [oss-security] 20090211 Re: CVE request for proftpd

链接:http://www.openwall.com/lists/oss-security/2009/02/11/5

来源: MLIST

名称: [oss-security] 20090211 CVE request for proftpd

链接:http://www.openwall.com/lists/oss-security/2009/02/11/4

来源: MANDRIVA

名称: MDVSA-2009:061

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2009:061

来源: DEBIAN

名称: DSA-1730

链接:http://www.debian.org/security/2009/dsa-1730

来源: GENTOO

名称: GLSA-200903-27

链接:http://security.gentoo.org/glsa/glsa-200903-27.xml

来源: SECUNIA

名称: 34268

链接:http://secunia.com/advisories/34268

来源: bugs.proftpd.org

链接:http://bugs.proftpd.org/show_bug.cgi?id=3173

受影响实体

• Proftpd Proftpd:1.3.1  

补丁

暂无