关键信息摘要 Title: ProFTPD 1.2.x远程用户枚举漏洞 Advisory ID: LSS#2004-10-2 Date: 2004年10月14日 Advisory URL: http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02 Impact: 远程用户枚举 Risk level: 低 Vulnerability type: 远程 Vendors contacted: Proftpd.org, 2004年9月9日 漏洞描述 Overview: ProFTPD是许多Linux/Unix发行版默认包含的非常流行的FTP服务器。LSS安全团队发现了一个可以在远程系统上识别和区分有效用户账户的远程用户枚举漏洞。 Vulnerability: 通过分析ProFTPD登录过程中的代码执行路径延迟,可以确定哪些用户名有效、哪些是特殊的、哪些在远程系统上不存在。可以使用简单的FTP客户端测量'USER'命令和服务器响应之间的时间差来实现这一点。 Affected versions: 该漏洞在ProFTPD 1.2.8和1.2.10版本上成功测试,其他版本也可能易受攻击。 Fix: 在登录过程中添加伪随机usleep()以混淆时间泄漏。 PoC Exploit: http://security.lss.hr/Poc/ 关键点 可以通过测量登录时间的微妙差异来区分有效用户、无效用户和特殊用户。 漏洞允许更高效的暴力破解攻击。 提供了针对此漏洞的修补程序示例代码。