ProFTPD _xlate_ascii_write()远程缓冲区溢出漏洞

漏洞描述

ProFTPD是一款高可配置性的FTP服务程序。

 

ProFTPD包含的_xlate_ascii_write()函数缺少正确的边界检查，远程攻击者可以利用这个漏洞进行缓冲区溢出，可以FTP进程权限在系统上执行任意指令。

 

_xlate_ascii_write()函数在对session.xfer.buf的缓冲区检查缺少精确的检查，攻击者可以覆盖此缓冲区临近的两个内存字节，因此可能控制指令，以FTP进程权限远程执行任意代码。攻击者可以发布RETR命令来触发此漏洞。

 

此次扫描根据Banner信息判断漏洞存在，可能出现误报。

 

 

 

解决方法

厂商补丁：

 

ProFTPD Project

---------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

 

http://www.proftpd.org/