发布日期:2002-11-21
更新日期:2002-11-27
受影响
[url=/jsj/system/]系统[/url]
: NetBSD ftpd
- NetBSD 1.6
- NetBSD 1.5.3
- NetBSD 1.5.2
- NetBSD 1.5.1
- NetBSD 1.5
描述: BUGTRAQ ID:
6225
NetBSD是一款开放源代码UNIX操作
[url=/jsj/system/]系统[/url]
。
NetBSD ftpd不正确应答畸形STAT命令请求,远程
[url=/]攻击[/url]
者可以利用这个
[url=/bugs/]漏洞[/url]
破坏防火墙中FTP客户端和NETBSD FTP服务器的状态表。
当文件名包含"[0-9]"时,NetBSD ftpd应答STAT命令使用了不标准的规则。这可以导致恶意一方破坏防火墙服务中相关FTP客户端和NetBSD FTP服务之间的状态表。
根据RFC959,如果非应答数字出现在FTP控制流中,必须在其之前通过插入空格绕过,而NetBSD ftpd没有遵循这个规则执行,可破坏基于状态表的FTP通信。
%26lt;*来源:NetBSD Security Advisory
链接:
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-027.txt.asc
*%26gt;
建议: 厂商补丁:
NetBSD
------
NetBSD已经为此发布了一个
[url=/]安全[/url]
公告(NetBSD-SA2002-027)以及相应补丁:
NetBSD-SA2002-027:ftpd STAT output non-conformance can deceive firewall devices
链接:
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-027.txt.asc
补丁下载:
* NetBSD-current:
[url=/jsj/system/]系统[/url]
运行在2002-10-26之前的NetBSD-current版本必须升级到2002-10-26 NetBSD-current版本或者之后的版本。
下面的目录必须从netbsd-current CVS branch (aka HEAD)升级:
libexec/ftpd
要升级CVS,重建和重安装ftpd:
# cd src
# cvs update -d -P libexec/ftpd
# cd libexec/ftpd
# make cleandir dependall
# make install
* NetBSD 1.6:
[url=/jsj/system/]系统[/url]
运行在2002-11-02之前的NetBSD 1.6 sources版本必须升级到2002-11-02 NetBSD-sources版本或者之后的版本。
下面的目录必须从netbsd-1-6 CVS branch上升级:
libexec/ftpd
要升级CVS,重建和重安装ftpd:
# cd src
# cvs update -d -P -r netbsd-1-6 libexec/ftpd
# cd libexec/ftpd
# make cleandir dependall
# make install
* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:
[url=/jsj/system/]系统[/url]
运行在2002-10-26之前的NetBSD 1.5, 1.5.1, 1.5.2, 或1.5.3版本必须升级到2002-10-26 NetBSD 1.5.* sources版本或者之后的版本。
下面的目录必须从netbsd-1-5 CVS branch上升级:
libexec/ftpd
要升级CVS,重建和重安装ftpd:
# cd src
# cvs update -d -P -r netbsd-1-5 libexec/ftpd
# cd libexec/ftpd
# make cleandir dependall
# make install
[url=java:copyUrl(]
复制地址,推荐给QQ、MSN上的好友[/url]
[url=/bbs/]
进入黑客手册技术论坛和大家一起讨论[/url]
