维信联合科技
ProFTPD字符编码SQL注入漏洞
2009-02-10
受影响系统:
ProFTPD Project ProFTPD 1.3.1
不受影响系统:
ProFTPD Project ProFTPD 1.3.2
描述:BUGTRAQ ID: 33650
ProFTPD是一款开放源代码FTP服务程序。
ProFTPD在执行SQL查询之前没有正确地设置字符编码,攻击者可以在向服务器提交的SQL命令中内嵌无效编码的多字节字符,以绕过标准字符转义方式在服务器上执行恶意命令。成功攻击要求启用了NLS支持。
<*来源:TJ Saunders (tj@castaglia.org)
链接:http://secunia.com/advisories/33842/
http://bugs.proftpd.org/show_bug.cgi?format=multiple&id=3173
*>
建议:厂商补丁:
ProFTPD Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://bugs.proftpd.org/attachment.cgi?id=2945&action=view
ProFTPD Project ProFTPD 1.3.1
不受影响系统:
ProFTPD Project ProFTPD 1.3.2
描述:BUGTRAQ ID: 33650
ProFTPD是一款开放源代码FTP服务程序。
ProFTPD在执行SQL查询之前没有正确地设置字符编码,攻击者可以在向服务器提交的SQL命令中内嵌无效编码的多字节字符,以绕过标准字符转义方式在服务器上执行恶意命令。成功攻击要求启用了NLS支持。
<*来源:TJ Saunders (tj@castaglia.org)
链接:http://secunia.com/advisories/33842/
http://bugs.proftpd.org/show_bug.cgi?format=multiple&id=3173
*>
建议:厂商补丁:
ProFTPD Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://bugs.proftpd.org/attachment.cgi?id=2945&action=view