본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

리눅스와 유닉스에서 많이 사용되는 프로FTPD에서 취약점 나와

OSS관리자 게시글 작성 시각 2019-07-25 13:46:00 게시글 조회수 4070

7월 24일

 

ⓒ보안뉴스, 문가용 기자 / globoan@boannews.com

 

오픈소스 FTP 프로토콜인 프로FTPD, 작년 9월부터 보안 구멍 가지고 있어
이론상으로는 원격 코드 실행까지도 가능한 취약점...개발사 이제야 움직이기 시작

 

오픈소스 파일 전송 프로토콜(FTP) 중 하나인 프로FTPD(ProFTPD)에서 보안 구멍이 하나 발견됐다. 이 취약점을 익스플로잇 할 경우 파일을 취약한 서버로 복사할 수 있게 되며, 이를 통해 임의의 코드를 실행할 수 있게 된다.

 

프로FTPD는 “고성능, 고호환성, 고안전성을 자랑하는 FTP 서버 구축을 위한 오픈소스”라고 광고되는 프로토콜이다. 프로FTPD는 많은 조직들과 프로젝트에 사용되고 있으며, 특히 리눅스와 유닉스 환경에서 인기가 높다. 소스포지(SourceForge), 삼바(Samba), 링크시스(Linksys) 등이 대표적으로 프로FTPD를 사용하는 곳이다.

 

이 프로FTPD에서 취약점을 발견한 건 독일의 보안 전문가인 토비아스 마델(Tobias Mädel)이다. 파일과 폴더를 같은 서버로 복사할 때, 클라이언트로 데이터를 먼저 옮기지 않아도 되게끔 해주는 mod_copy라는 모듈을 사용하다가 이상한 점을 발견했다고 한다. 참고로 이 모듈은 거의 모든 OS에서 디폴트 상 활성화 되어 있다. 

(중략)

 

[원문출처 : https://www.boannews.com/media/view.asp?idx=81727]

맨 위로
맨 위로