ProFTPD SSL tanúsítvány feldolgozási sérülékenység


2009. október 25. 23:00

CH azonosító

CH-2596

Felfedezés dátuma

2009.10.25.

Súlyosság

Alacsony

Érintett rendszerek

ProFTPD
ProFTPD Project

Érintett verziók

ProFTPD Project ProFTPD 1.3.x

Összefoglaló

Egy sérülékenységet találtak a ProFTPD-ben, amit kihasználva, rosszindulatú támadók hamisításos (spoofing) támadást hajthatnak végre.

Leírás

Egy sérülékenységet találtak a ProFTPD-ben, amit kihasználva, rosszindulatú támadók hamisításos (spoofing) támadást hajthatnak végre.

A sérülékenységet a “mod_tls” modul egy hibája okozza a kliens SSL tanúsítványok feldolgozásakor. Ezt kihasználva, rá lehet venni a szervert, hogy elfogadjon egy potenciálisan rosszindulatú SSL tanúsítványt, ha NULL karakter van a “subjectAltName” mezőben.

MEegjegyzés: a sérülékenység csak akkor jelentkezik, ha az érintett rendszeren a “UseReverseDNS” és a “TLSVerifyClient” engedélyezve van, és a “TLSOptions”-ban be van állítva a “dNSNameRequired”.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 37131
SECUNIA 36093
Gyártói referencia: bugs.proftpd.org
CVE-2009-3639 - NVD CVE-2009-3639

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »