CoreFTP是一款免費,安全的FTP用戶端。提供了一種快速,簡便,可靠的方式來通過FTP更新和維護網站。它還提供了一種安全的方法(通過SSL,TLS,FTPS,HTTPS或SFTP)來上傳/下載下傳FTP伺服器的檔案。檢視功能清單,您可以在免費的ftp程式中找到所需的幾乎所有功能。沒有彈出廣告,廣告或間諜軟體。
最近有安全研究人員釋出CoreFTPServer653版本的一個Dos漏洞。正常情況下,FTP伺服器收到一條指令,将保護緩沖區大小(PBSZ)設定為非零值。連接配接受TLS安全機制保護,該機制不接受大于0的PBSZ值。PBSZ指令成功完成但PBSZ設定為0。
此版本PBSZ指令的參數時存在輸入驗證錯誤,允許攻擊者通過送出特制字元串做為上述指令的參數導緻拒絕服務。
漏洞驗證腳本已經公布,測試之後FTP服務不可用
可以看到首次發包的時候,21端口可連接配接,再次發包,連接配接逾時,FTP服務已經不可用。
下載下傳最新版本安裝使用即可避免該攻擊!
參考資訊:
http://coreftp.com/
http://coreftp.com/server/download/archive/
https://www.exploit-db.com/exploits/46532