FTP 伺服器 - ProFTPD發現安全漏洞

一款相當好用且用戶廣泛的 FTP 伺服器 - ProFTPD，，日前被發現在處理 CIDR ACL 方面有安全上的漏洞。ProFTPD在4月28日 推出的 1.2.10rc1 已修正了此一問題，各大 Linux/BSD 廠商/組織，均已推出修補套件，因此會受到影響的版本是 1.2.9 (含) 以前的版本。

據自由軟體技術交流網消息指出，ProFTPD 這次發現的安全漏洞就在於有心者可使用特殊攻擊手法繞過 CIDR ACL 的限制，原先 Deny 可能就變成 AllowALL，管理員所要限制(某些IP位址)存取的目錄位置，其保護功能就失效了。

所謂的 CIDR ACL 便指使用 CIDR 格式來表示存取控制位址的一份清單。其中CIDR 是 Classless Interdomain Routing 的簡稱，其格式例：192.168.1.0/24，ACL 則是 Access Control List 的簡稱，意即用來做為存取控制的清單。

目前使用 ProFTPD的管理員可以采取下列行動：

1. 升級至 1.2.10rc1；

2. 使用 rpm/deb/port/portage 者應升級您的套件；

3. 暫不想升級者，應避免使用 ProFTPD 的 CIDR ACL 功能，請改用 mod_wrap 搭配 /etc/hosts.allow, hosts.deny 或 ipchains/iptables/等其它 ipfilter 機制為之。

本文由 CTIMES 同意轉載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E4%B8%93%E7%94%A8%E7%BD%91%E9%99%85%E4%BC%BA%E6%9C%8D%E8%BD%AF%E4%BB%B6/0405201742JM.shtmll