ProFTPD字符編碼SQL注入漏洞
作者:secunia
SQL注入##遠(yuǎn)程攻擊##立即處理[msg]ProFTPD是一款開(kāi)放源代碼FTP服務(wù)程序。ProFTPD在執(zhí)行SQL查詢(xún)之前沒(méi)有正確地設(shè)置字符編碼,攻擊者可以在向服務(wù)器提交的SQL命令中內(nèi)嵌無(wú)效編碼的多字節(jié)字符,以繞過(guò)標(biāo)準(zhǔn)字符轉(zhuǎn)義方式在服務(wù)器上執(zhí)行惡意命令。成功攻擊要求啟用了NLS支持。
受影響系統(tǒng):
ProFTPD Project ProFTPD 1.3.1
不受影響系統(tǒng):
ProFTPD Project ProFTPD 1.3.2
描述:
BUGTRAQ ID: 33650
ProFTPD是一款開(kāi)放源代碼FTP服務(wù)程序。ProFTPD在執(zhí)行SQL查詢(xún)之前沒(méi)有正確地設(shè)置字符編碼,攻擊者可以在向服務(wù)器提交的SQL命令中內(nèi)嵌無(wú)效編碼的多字節(jié)字符,以繞過(guò)標(biāo)準(zhǔn)字符轉(zhuǎn)義方式在服務(wù)器上執(zhí)行惡意命令。成功攻擊要求啟用了NLS支持。
建議:
廠(chǎng)商補(bǔ)丁:目前ProFTPD Project已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題,請(qǐng)到廠(chǎng)商的主頁(yè)下載:
http://bugs.proftpd.org/attachment.cgi?id=2945&action=view
責(zé)任編輯:王文文
來(lái)源:
IT專(zhuān)家網(wǎng)
