ProFTPd登录时间差异用户帐户泄露漏洞

发布日期：2004-10-14
更新日期：2004-10-15

受影响系统：

ProFTPD Project ProFTPD 1.2.9
ProFTPD Project ProFTPD 1.2.8
ProFTPD Project ProFTPD 1.2.10

描述：

---

BUGTRAQ ID: 11430
CVE(CAN) ID: CVE-2004-1602

ProFTPd是一款流行的FTP服务程序。

ProFTPd在处理'USER'命令时对非法用户名处理存在时间差异，远程攻击者可以利用这个漏洞验证合法用户帐户名。

LSS Security Team报告通过对ProFTPd登录过程进行代码执行路径时间分析，可判断合法用户帐户名。远程用户估量传输‘USER’命令和应答时间的差异，可判断帐户是否合法。

<*来源：Leon Juranic （ljuranic@LSS.hr）

链接：http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* LSS Security Team提供了如下第三方补丁：

proftpd-1.2.10/modules/mod_auth.c

1867a 1868,1877

> {
> unsigned int randa;
> struct timeval tv;
> struct timezone tz;
> gettimeofday (&tv, &tz);
> srand(tv.tv_usec);
> randa = rand() % 20000;
> usleep(randa);
> }
>

厂商补丁：

ProFTPD Project
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.proftpd.org/

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!