Vulnerabilities
야후 웹메일 취약점
IE 6.0 DoS 취약점
[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점
[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점
[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류
Section Stories
머피의 법칙 그 유래를 찾아서 4부작 2편
지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...
얼음렌즈로 불 붙이기
호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 5cm 정도 깊이의 접시를 만들어 물을 담고 천천히 얼린다. 아니면, 판매하 ...
머피의 법칙, 그 유래를 찾아서 4부작 1편
"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서는 여러가지 설이 분분합니다. 희귀한 연구 결과를 주로 싣는 핫에어 사이트에 "머피의 ...
[2003/09/30] [HL2003-116]Proftpd ascii 모드 화일 전송 버퍼오버플로우 취약점
[HL2003-116]Proftpd ascii 모드 화일 전송 버퍼오버플로우 취약점

* 분류 No. HL2003-116

* 게시일 2003-09-25 10:45:00

* 공격 범위 remote

* 위험도 High

* 취약한 시스템

ProFTPD 1.2.7
ProFTPD 1.2.8
ProFTPD 1.2.8rc1
ProFTPD 1.2.8rc2
ProFTPD 1.2.9rc1
ProFTPD 1.2.9rc2

* 공격 영향

외부의 공격자가 관리자 권한으로 시스템 내부에 침투할 수 있습니다.

* 취약점 상세 설명

Proftpd 는 UNIX에서 많이 사용되는 ftp 데몬입니다. proftpd는 개개의 디렉토리에 대한 제한 설정, 가상호스트 설정의 편리함, 다양한 인증 방법을 제공합니다. 취약점은 공격자가 정교하게 만들어진 악의적인 화일을 ftp서버에 올리고, 같은 화일을 ascii모드로 다운로드 받을 때 서버의 핸들링 오류가 생긴다는 것입니다. 일단 ascii모드로 화일이 전송되기 시작하면, 화일의 데이터들이 1024 바이트의 chunk에서 newline 캐릭터를 체크하기 위해 검사됩니다. 그런데 이러한 과정에서 Proftpd 데몬이 newline 을 정확하게 핸들링 하지 못하여 정교하게 조작된 화일을 파싱하면서 버퍼오버플로우가 발생합니다.

proftpd 데몬은 이러한 급작스런 오류들에 대해 root 권한이 주어지지 않도록 주의했으나, iss의 xforce팀에 의해 외부의 공격자가 root 권한을 획득하는 것이 가능하다고 입증되었습니다.

* 해결 방안

ftp://ftp.proftpd.org/ 로부터 패치된 proftpd 데몬을 받아 설치하십시요. 배포판 사용자들 께서는 배포판의 패치된 패키지를 다운로드 받아 설치하시기 바랍니다.

* 참고사이트

http://xforce.iss.net/xforce/alerts/id/154
http://www.proftpd.org/
http://www.proftpd.org/critbugs.html

Copyright ⓒ 1999-2003 HackersLab Co., Ltd. All Rights Reserved.



*이 정보는 해커스랩에서 운영하는 통합 보안 관제 서비스 N-Patrol이 제공하는 서비스의 일부로, N-Patrol 서비스에 가입하시면 더욱 빠르고 상세한 정보를 보실 수 있습니다.

(주)해커스랩
서울시 강남구 논현동 221-5 M빌딩 5층 (우)135-010
Tel. (02) 2056-2800(대표), 2842(컨설팅 및 SI 영업) 2962(관제영업)
Fax. (02)540-7880

[54] [53] [52] [51] [50] [49] [48] [47] [46] [44] [43]
F.H.Z Server 접속자
2014/12/18 08:22 PM
DRILL 23명 / IRC 6명
Errata
BBUWOO


시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천...
Book Review
Spidering Hacks


[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하...
Free Hacking Zone
Copyright © 1999-2003 by (주)해커스랩
개인정보 보호 정책