Podatność CVE-2007-2165
Publikacja: 2007-04-22   Modyfikacja: 2012-02-12

Opis:
The Auth API in ProFTPD before 20070417, when multiple simultaneous authentication modules are configured, does not require that the module that checks authentication is the same as the module that retrieves authentication data, which might allow remote attackers to bypass authentication, as demonstrated by use of SQLAuthTypes Plaintext in mod_sql, with data retrieved from /etc/passwd.

CVSS2 => (AV:N/AC:H/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5.1/10
6.4/10
4.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Wysoka
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Proftpd project -> Proftpd 

 Referencje:
http://bugs.proftpd.org/show_bug.cgi?id=2922
http://xforce.iss.net/xforce/xfdb/33733
http://www.vupen.com/english/advisories/2007/1444
http://www.securityfocus.com/bid/23546
http://securitytracker.com/id?1017931
http://secunia.com/advisories/24867
http://osvdb.org/34602
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=419255
https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00065.html
https://bugzilla.redhat.com/show_bug.cgi?id=237533
http://www.mandriva.com/security/advisories?name=MDKSA-2007:130
http://secunia.com/advisories/27516
http://secunia.com/advisories/25724
Copyright 2024, cxsecurity.com

 

Back to Top