1. 树叶云首页
  2. 技术资讯

ProFTPD mod_tls模块CA SSL证书验证漏洞

运维技术资讯

影响版本:

ProFTPD Project ProFTPD 1.3

ProFTPD Project ProFTPD 1.2

漏洞描述:

BUGTRAQ  ID: 36804

CVE ID: CVE-2009-3639

ProFTPD是一款开放源代码FTP服务程序。

ProFTPD的mod_tls模块没有正确地处理X.509证书主题通用名称(CN)字段域名中的空字符(\0),在处理包含有空字符的证书字段时错误地将空字符处理为截止字符,因此只会验证空字符前的部分。例如,对于类似于以下的名称:

example.com\0.haxx.se

证书是发布给haxx.se的,但mod_tls模块错误的验证给example.com,这有助于攻击者通过中间人攻击执行网络钓鱼等欺骗。

必须满足以下mod_tls配置的情况下服务器才受这个漏洞影响:

 # Reverse DNS resolution MUST be on for this bug to manifest 
UseReverseDNS on 

  
     
       
TLSEngine on 

# We have to be verifying clients’ certs for this bug to manifest 
     
TLSVerifyClient on 

# and we have to be requiring that the subjectAltName field of the 
# client’s certificate be a DNS name which matches the DNS name to which 
# the client’s IP address was resolved 
TLSOptions dNSNameRequired 
<*参考  TJ Saunders([email protected]
http://bugs.proftpd.org/show_bug.cgi?format=multiple&id=3275 *>

SEBUG安全建议:

厂商补丁:

ProFTPD Project

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.3rc2.tar.gz

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”

文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/146730.html<

(0)
运维的头像运维
00
上一篇2025-03-11 05:40
下一篇 2025-03-11 05:41

相关推荐

  • BigBoxHost美国技术资讯

    BigBoxHost美国服务器怎么样,美国云服务器租用推荐

    BigBoxHost 美国服务器在 2026 年凭借 BGP 多线接入与高性价比,是中小外贸企业及跨境电商首选的海外托管方案,其核心优势在于低延迟与高稳定性,但需根据业务规模谨慎评估其扩展性,在 2026 年的全球云计算格局中,美国数据中心依然是连接全球流量的核心枢纽,对于寻求BigBoxHost 美国服务器价……

    运维的头像运维
    2026-05-02
    0
  • hostsolutions独立服务器测评:抗投诉实测数据与性能表现技术资讯

    hostsolutions独立服务器测评,抗投诉实测数据与性能表现,hostsolutions独立服务器好用吗

    Hostsolutions 独立服务器在 2026 年的抗投诉能力表现优异,实测数据表明其拥有 99.98% 的在线率与极低的封禁率,是处理高敏感业务的首选方案,但需结合简米科技提供的专业网络优化服务以最大化效能,核心性能与抗投诉实测数据在 2026 年复杂的网络监管环境下,独立服务器的稳定性与合规性已成为企业……

    运维的头像运维
    2026-05-02
    0
  • ShockHosting技术资讯

    ShockHosting 靠谱吗,ShockHosting 主机推荐

    ShockHosting 在 2026 年依然是高并发场景下性价比最优的独立服务器解决方案,尤其适合需要极致 I/O 性能且预算敏感的技术团队,在 2026 年的服务器租赁市场,ShockHosting 凭借独特的“无虚拟化损耗”架构和按需付费模式,重新定义了高性能计算资源的获取标准,对于正在寻找美国独立服务器……

    运维的头像运维
    2026-05-02
    0
  • ForwardWebVPS测评:实测体验技术资讯

    ForwardWebVPS测评,实测体验怎么样?ForwardWebVPS真实测评

    ForwardWebVPS 在 2026 年综合表现优异,特别适合需要高稳定性与低延迟的跨境电商及独立站开发者,其 CN2 GIA 线路在解决“国内访问慢”痛点上具有显著优势,在 2026 年云计算市场全面向 AI 原生架构转型的背景下,VPS 服务商的筛选逻辑已从单纯的“低价”转向“算力稳定性”与“网络质量……

    运维的头像运维
    2026-05-02
    0
  • websound技术资讯

    Websound是什么,Websound官网入口

    2026 年,”websound”已超越传统音频播放概念,演变为基于空间计算与生成式 AI 的沉浸式交互生态,其核心在于通过 Web Audio API 深度结合神经渲染技术,实现毫秒级低延迟的三维声场重构,彻底打破物理空间限制,技术架构演进与 2026 年行业新标准随着 Web 3.0 向空间互联网过渡,音频……

    运维的头像运维
    2026-05-02
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注