Összefoglaló
A Pure-FTPd egy sérülékenységét jelentették, amelyet kihasználva a támadók manipulálhatnak bizonyos adatokat.
Leírás
A sérülékenység oka, hogy a TLS implementáció nem megfelelően törli a szállítási réteg puffereit, miután a titkosítatlan módról titkosítottra vált a “STARTTLS” parancs feldolgozása után. Ezt kihasználva tetszőleges szöveg (pl. FTP parancsok) beszúrása lehetséges a titkosítatlan fázisba, ami azután hajtódik végre, hogy életbe lép a TLS titkosítás.
A sérülékenységet az 1.0.30 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.pureftpd.org
SECUNIA 43988
