RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

FYI: SQL Injection/Authentication Bypass in ProFTPd >1.3.0

https://www.rootforum.org/forum/viewtopic.php?t=50031

Page 1 of 1

FYI: SQL Injection/Authentication Bypass in ProFTPd >1.3.0

Posted: 2009-02-11 19:55
by Roger Wilco
Für ProFTPd wurde ein Exploit veröffentlicht, der es Angreifern ermöglicht, sich ohne gültige Zugangsdaten als beliebiger Benutzer am System anzumelden, wenn mod_mysql benutzt wird.

Betroffen sind anscheinend nur Versionen >1.3.0.

Quellen:
http://article.gmane.org/gmane.comp.sec ... traq/39001
http://article.gmane.org/gmane.comp.sec ... traq/38998
http://milw0rm.com/exploits/8037

Re: FYI: SQL Injection/Authentication Bypass in ProFTPd >1.3.0

Posted: 2009-02-16 15:23
by rudelgurke
Mit Version 1.3.2 - bereits am 5.2. veröffentlicht - ist dieser Bug wohl behoben. Laut der Homepage und Securityfocus war wohl auch das PostgreSQL Modul betroffen.

Viel Erfolg beim obligatorischen Update
All times are UTC+01:00
Page 1 of 1