ProFTPD SSL tanúsítvány feldolgozási sérülékenység

2009. október 25. 23:00

CH azonosító

CH-2596

Felfedezés dátuma

2009.10.25.

Súlyosság

Alacsony

Érintett rendszerek

ProFTPD
ProFTPD Project

Érintett verziók

ProFTPD Project ProFTPD 1.3.x

Összefoglaló

Egy sérülékenységet találtak a ProFTPD-ben, amit kihasználva, rosszindulatú támadók hamisításos (spoofing) támadást hajthatnak végre.

Leírás

Egy sérülékenységet találtak a ProFTPD-ben, amit kihasználva, rosszindulatú támadók hamisításos (spoofing) támadást hajthatnak végre.

A sérülékenységet a “mod_tls” modul egy hibája okozza a kliens SSL tanúsítványok feldolgozásakor. Ezt kihasználva, rá lehet venni a szervert, hogy elfogadjon egy potenciálisan rosszindulatú SSL tanúsítványt, ha NULL karakter van a “subjectAltName” mezőben.

MEegjegyzés: a sérülékenység csak akkor jelentkezik, ha az érintett rendszeren a “UseReverseDNS” és a “TLSVerifyClient” engedélyezve van, és a “TLSOptions”-ban be van állítva a “dNSNameRequired”.

Legfrissebb sérülékenységek

CVE-2023-33960 – OpenProject sérülékenysége

CVE-2023-32324 – OpenPrinting CUPS sérülékenysége

CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége

CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége

CVE-2023-26277 – IBM QRadar WinCollect Agent sérülékenysége

CVE-2023-2650 – OpenSSL sérülékenysége

CVE-2023-0766 – Newsletter popup sérülékenysége

CVE-2023-1938 – WP Fastest Cache for WordPress sérülékenysége

CVE-2023-33175 – Python ToUI modul sérülékenysége

CVE-2023-27988 – Zyxel NAS326 firmware sérülékenysége

Tovább a sérülékenységekhez »

ProFTPD SSL tanúsítvány feldolgozási sérülékenység