DragonSoft->About DragonSoft->DragonSoft News

公司簡介

產品資訊

客戶服務

安全資源

顧問服務

合作伙伴

臺銀共同供應契約

　About DragonSoft

Wu-FTPd 緩衝區溢位漏洞 Linux 用戶需儘速修補 (2003/08/02)

Wu-FTP 伺服器為 UNIX 系統中最常使用的 FTP 伺服器, 也是 Linux 系統預設安裝的 FTP 服務. 在 Wu-FTPd 2.6.2 及 2.5.x 的版本中被發現存在一個稱為 off-by-one 的緩衝區溢位弱點. 此弱點可以讓本地端及遠端攻擊者(包含經過授權及匿名的用戶)取得系統的 root 權限, DragonSoft 安全小組於 2003/8/2 將此安全漏洞已定義為高風險的弱點.

Wu-FTPd 緩衝區溢位漏洞存在於 fb_realpath() 函數, 攻擊者可以透過命令 (包括:STOR,RETR,APPE,DELE,MKD,RMD,STOU,RNTO) 的方式造成緩衝區溢位, 當上述命令含帶 4095 個字元時, 可能造成緩衝區溢位, 攻擊者可取得系統的管理權限.

DragonSoft 安全研究小組建議 UNIX 用戶盡快修補此漏洞, 尤其是 Linux 用戶需儘速取得修補補程式, 並使用 rpm -Fvh [filenames], 及 up2date 命令進行修補

相關連結：

DragonSoft 弱點資料庫: Wu-FTPd 2.6.2 緩衝區溢位弱點
http://www.dragonsoft.com/vulner/detail.php?id=1716

CVE Vulnerability: CAN-2003-0466
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0466

CERT Vulnerability Note VU#743092
http://www.kb.cert.org/vuls/id/743092

ISEC Vulnerability advisory 11
http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt

Red Hat Linux 7.1 update for WU-FTPD
SRPMS: ftp://updates.redhat.com/7.1/en/os/SRPMS/wu-ftpd-2.6.2-11.71.1.src.rpm
i386: ftp://updates.redhat.com/7.1/en/os/i386/wu-ftpd-2.6.2-11.71.1.i386.rpm

Red Hat Linux 7.1 iSeries(64 bit) update for WU-FTPD
SRPMS: ftp://updates.redhat.com/7.1/en/os/iSeries/SRPMS/wu-ftpd-2.6.2-11.71.1.src.rpm
ppc: ftp://updates.redhat.com/7.1/en/os/iSeries/ppc/wu-ftpd-2.6.2-11.71.1.ppc.rpm

Red Hat Linux 7.1 pSeries(64 bit) update for WU-FTPD
SRPMS: ftp://updates.redhat.com/7.1/en/os/pSeries/SRPMS/wu-ftpd-2.6.2-11.71.1.src.rpm
ppc: ftp://updates.redhat.com/7.1/en/os/pSeries/ppc/wu-ftpd-2.6.2-11.71.1.ppc.rpm

Red Hat Linux 7.2 update for WU-FTPD
SRPMS: ftp://updates.redhat.com/7.2/en/os/SRPMS/wu-ftpd-2.6.2-11.72.1.src.rpm
i386: ftp://updates.redhat.com/7.2/en/os/i386/wu-ftpd-2.6.2-11.72.1.i386.rpm
ia64: ftp://updates.redhat.com/7.2/en/os/ia64/wu-ftpd-2.6.2-11.72.1.ia64.rpm

Red Hat Linux 7.3 update for WU-FTPD
SRPMS: ftp://updates.redhat.com/7.3/en/os/SRPMS/wu-ftpd-2.6.2-11.73.1.src.rpm
i386: ftp://updates.redhat.com/7.3/en/os/i386/wu-ftpd-2.6.2-11.73.1.i386.rpm

Red Hat Linux 8.0 update for WU-FTPD
SRPMS: ftp://updates.redhat.com/8.0/en/os/SRPMS/wu-ftpd-2.6.2-12.src.rpm
i386: ftp://updates.redhat.com/8.0/en/os/i386/wu-ftpd-2.6.2-12.i386.rpm

Conectiva Linux 7.0 update for WU-FTPD
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/WU-FTPD-2.6.1-6U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/WU-FTPD-2.6.1-6U70_3cl.src.rpm

Conectiva Linux 8 update for WU-FTPD
ftp://atualizacoes.conectiva.com.br/8/RPMS/WU-FTPD-2.6.1-8U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/WU-FTPD-2.6.1-8U80_1cl.src.rpm

Conectiva Linux 9 update for WU-FTPD
ftp://atualizacoes.conectiva.com.br/9/RPMS/WU-FTPD-2.6.2-13985U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/WU-FTPD-2.6.2-13985U90_1cl.src.rpm


Certification & Awards

	2006-02 2005 MIS Best Choice
	2006-02 DragonSoft Vulnerability Database - CVE-Compatibility Certificate
	2005-12 Small and Medium Enterprise Business Start-Up Award
	2005-12 Small and Medium Enterprise Innovation Research Award
	2005-11 Golden Torch Award
	2005-04 National Quality Guarantee Golden Award
	2005-03 Golden Peak Award
	2004-11 DragonSoft Secure Scanner - CVE-Compatibility Certificate