免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › IT运维 › 数据安全 › 怎么修复这个vsftpd的问题？

最近访问板块

发新帖

查看: 2722 | 回复: 9

上一主题

下一主题

怎么修复这个vsftpd的问题？ [复制链接]

论坛徽章:: 0

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2010-12-17 17:46 |只看该作者 |倒序浏览

. 端口"ftp (21/tcp)"发现安全漏洞 :

远程FTP服务器在处理USER命令的时候存在SQL注入的漏洞.
攻击者可以利用这个缺陷以任何用户登陆远程主机.

解决方案 :
如果远程主机是Proftpd,请尽可能升级到1.2.10或者更换数据库为postgreSQL.

风险等级 : 高
___________________________________________________________________

The remote FTP server is vulnerable to a SQL injection when
it processes the USER command.

An attacker may exploit this flaw to log into the remote host
as any user.

Solution : If the remote server is ProFTPd, upgrade to ProFTPD 1.2.10 when
available, or switch the SQL backend to PostgreSQL.

Risk factor : High
BUGTRAQ_ID : 7974
NESSUS_ID : 11768

谢谢啦，会不会是误报呢？

文库|博客

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

2楼 [报告]

发表于 2010-12-19 21:44 |只看该作者

你用什么工具扫出来的？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

3楼 [报告]

发表于 2010-12-20 13:32 |只看该作者

x-scan

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

4楼 [报告]

发表于 2010-12-20 13:53 |只看该作者

你可以按他扫描的方式重现一下

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

5楼 [报告]

发表于 2010-12-21 00:03 |只看该作者

我从来不信这种扯淡的工具。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 3

金牛座
日期:2014-06-14 22:04:06

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-04 09:49:45

6楼 [报告]

发表于 2010-12-21 12:15 |只看该作者

我从来不信这种扯淡的工具。
jerrywjl 发表于 2010-12-21 00:03

有些工具还是很有效果的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

7楼 [报告]

发表于 2010-12-27 20:52 |只看该作者

vsftpd多少年都没出现过问题了。
x-scan这东西也就刚出来时候还凑活着用。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

8楼 [报告]

发表于 2010-12-28 15:21 |只看该作者

不少扫描器仅通过版本号来判断的，不一定可信，但版本能升则升吧，安全第一

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 34

亥猪
日期:2015-03-20 13:55:11

戌狗
日期:2015-03-20 13:57:01

酉鸡
日期:2015-03-20 14:03:56

未羊
日期:2015-03-20 14:18:30

子鼠
日期:2015-03-20 14:20:14

丑牛
日期:2015-03-20 14:20:31

辰龙
日期:2015-03-20 14:35:34

巳蛇
日期:2015-03-20 14:35:56

操作系统版块每日发帖之星
日期:2015-11-06 06:20:00

操作系统版块每日发帖之星
日期:2015-11-08 06:20:00

操作系统版块每日发帖之星
日期:2015-11-19 06:20:00

黄金圣斗士
日期:2015-11-24 10:43:13

9楼 [报告]

发表于 2010-12-29 16:26 |只看该作者

升个级再试试？ vsftpd 不是 very security 么

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

10楼 [报告]

发表于 2010-12-30 15:47 |只看该作者

The remote FTP server is vulnerable to a SQL injection when it processes the USER command.

这个问题本身是一个权限绕过问题，发生漏洞必须是proftpd且启用了sql模块才行。具体的漏洞你可以参看：

http://www.exploit-db.com/exploits/8037/

由于你使用的是vsftpd，很明显的误报

你是下的x-scan然后升级的插件吧，呵呵。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

发新帖

Chinaunix › 论坛 › IT运维 › 数据安全 › 怎么修复这个vsftpd的问题？

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP