ProFTPD字符編碼SQL注入漏洞
作者:secunia
SQL注入##遠(yuǎn)程攻擊##立即處理[msg]ProFTPD是一款開放源代碼FTP服務(wù)程序。ProFTPD在執(zhí)行SQL查詢之前沒有正確地設(shè)置字符編碼,攻擊者可以在向服務(wù)器提交的SQL命令中內(nèi)嵌無效編碼的多字節(jié)字符,以繞過標(biāo)準(zhǔn)字符轉(zhuǎn)義方式在服務(wù)器上執(zhí)行惡意命令。成功攻擊要求啟用了NLS支持。
受影響系統(tǒng):
ProFTPD Project ProFTPD 1.3.1
不受影響系統(tǒng):
ProFTPD Project ProFTPD 1.3.2
描述:
BUGTRAQ ID: 33650
ProFTPD是一款開放源代碼FTP服務(wù)程序。ProFTPD在執(zhí)行SQL查詢之前沒有正確地設(shè)置字符編碼,攻擊者可以在向服務(wù)器提交的SQL命令中內(nèi)嵌無效編碼的多字節(jié)字符,以繞過標(biāo)準(zhǔn)字符轉(zhuǎn)義方式在服務(wù)器上執(zhí)行惡意命令。成功攻擊要求啟用了NLS支持。
建議:
廠商補(bǔ)丁:目前ProFTPD Project已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)這個安全問題,請到廠商的主頁下載:
http://bugs.proftpd.org/attachment.cgi?id=2945&action=view
責(zé)任編輯:王文文
來源:
IT專家網(wǎng)
