ProFTPD SSL tanúsítvány feldolgozási sérülékenység


2009. október 25. 23:00

CH azonosító

CH-2596

Felfedezés dátuma

2009.10.25.

Súlyosság

Alacsony

Érintett rendszerek

ProFTPD
ProFTPD Project

Érintett verziók

ProFTPD Project ProFTPD 1.3.x

Összefoglaló

Egy sérülékenységet találtak a ProFTPD-ben, amit kihasználva, rosszindulatú támadók hamisításos (spoofing) támadást hajthatnak végre.

Leírás

Egy sérülékenységet találtak a ProFTPD-ben, amit kihasználva, rosszindulatú támadók hamisításos (spoofing) támadást hajthatnak végre.

A sérülékenységet a “mod_tls” modul egy hibája okozza a kliens SSL tanúsítványok feldolgozásakor. Ezt kihasználva, rá lehet venni a szervert, hogy elfogadjon egy potenciálisan rosszindulatú SSL tanúsítványt, ha NULL karakter van a “subjectAltName” mezőben.

MEegjegyzés: a sérülékenység csak akkor jelentkezik, ha az érintett rendszeren a “UseReverseDNS” és a “TLSVerifyClient” engedélyezve van, és a “TLSOptions”-ban be van állítva a “dNSNameRequired”.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 37131
SECUNIA 36093
Gyártói referencia: bugs.proftpd.org
CVE-2009-3639 - NVD CVE-2009-3639

Legfrissebb sérülékenységek
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
CVE-2024-51567 – CyberPanel sérülékenysége
CVE-2024-8396 – deepjavalibrary/djl sérülékenysége
CVE-2024-7010 – mudler/localai sérülékenysége
CVE-2024-5982 – gaizhenbiao/chuanhuchatgpt sérülékenysége
CVE-2024-7475 – lunary-ai/lunary sérülékenysége
CVE-2024-7474 – lunary-ai/lunary sérülékenysége
CVE-2024-7473 – lunary-ai/lunary sérülékenysége
CVE-2024-6983 – mudler/localai sérülékenysége
CVE-2024-20481 – Cisco ASA és FTD sérülékenysége
Tovább a sérülékenységekhez »