製品・ソフトウェアに関する情報
Vulnerability Search
ProFTPD の Auth API における認証を回避される脆弱性
Title ProFTPD の Auth API における認証を回避される脆弱性
Summary

ProFTPD の Auth API は、同時に複数の認証モジュールが設定されている場合、認証データを検索するモジュールと認証をチェックするモジュールが同一である必要がないため、認証を回避される脆弱性が存在します。

Possible impacts 第三者により、認証を回避される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date April 16, 2007, midnight
Registration Date Dec. 20, 2012, 6:19 p.m.
Last Update Dec. 20, 2012, 6:19 p.m.
CVSS2.0 : 警告
Score 5.1
Vector AV:N/AC:H/Au:N/C:P/I:P/A:P
Affected System
ProFTPD Project
ProFTPD 20070417 未満
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-2165
Summary

The Auth API in ProFTPD before 20070417, when multiple simultaneous authentication modules are configured, does not require that the module that checks authentication is the same as the module that retrieves authentication data, which might allow remote attackers to bypass authentication, as demonstrated by use of SQLAuthTypes Plaintext in mod_sql, with data retrieved from /etc/passwd.

Summary

El API en ProFTPD anterior 20070417, cuando
se configuran múltiples módulos de validación de forma simultanea, no requiere que el módulo que valida la autenticación en el mismo módulo que recupera los datos de validación, lo cual podría permitir a atacantes remotos evitar la validación, como se demostró con el uso SQLAuthTypes Plaintext en mod_sql, con datos recuperados de /etc/passwd.

Publication Date April 23, 2007, 4:19 a.m.
Registration Date Jan. 29, 2021, 2:11 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:proftpd_project:proftpd:*:*:*:*:*:*:*:* 1.3.0_rc1
Related information, measures and tools
Common Vulnerabilities List