製品・ソフトウェアに関する情報

JVN脆弱性詳細

ProFTPD の Auth API における認証を回避される脆弱性

タイトル	ProFTPD の Auth API における認証を回避される脆弱性
概要	ProFTPD の Auth API は、同時に複数の認証モジュールが設定されている場合、認証データを検索するモジュールと認証をチェックするモジュールが同一である必要がないため、認証を回避される脆弱性が存在します。
想定される影響	第三者により、認証を回避される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年4月16日0:00
登録日	2012年12月20日18:19
最終更新日	2012年12月20日18:19

CVSS2.0 : 警告
スコア	5.1
ベクター	AV:N/AC:H/Au:N/C:P/I:P/A:P

影響を受けるシステム

ProFTPD Project

ProFTPD 20070417 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-2165	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2165
National Vulnerability Database (NVD)
2	CVE-2007-2165	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-2165

ベンダー情報

No	名前	URL
proftpd project
1	bug 2922	http://bugs.proftpd.org/show_bug.cgi?id=2922

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-2165

概要	The Auth API in ProFTPD before 20070417, when multiple simultaneous authentication modules are configured, does not require that the module that checks authentication is the same as the module that retrieves authentication data, which might allow remote attackers to bypass authentication, as demonstrated by use of SQLAuthTypes Plaintext in mod_sql, with data retrieved from /etc/passwd.
概要	El API en ProFTPD anterior 20070417, cuando se configuran múltiples módulos de validación de forma simultanea, no requiere que el módulo que valida la autenticación en el mismo módulo que recupera los datos de validación, lo cual podría permitir a atacantes remotos evitar la validación, como se demostró con el uso SQLAuthTypes Plaintext en mod_sql, con datos recuperados de /etc/passwd.
公表日	2007年4月23日4:19
登録日	2021年1月29日14:11
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:proftpd_project:proftpd::::::::			1.3.0_rc1

関連情報、対策とツール

No	URL	refsource
1	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=419255	cve@mitre.org
2	http://bugs.proftpd.org/show_bug.cgi?id=2922	cve@mitre.org
3	http://osvdb.org/34602	cve@mitre.org
4	http://secunia.com/advisories/24867	cve@mitre.org
5	http://secunia.com/advisories/25724	cve@mitre.org
6	http://secunia.com/advisories/27516	cve@mitre.org
7	http://securitytracker.com/id?1017931	cve@mitre.org
8	http://www.mandriva.com/security/advisories?name=MDKSA-2007:130	cve@mitre.org
9	http://www.securityfocus.com/bid/23546	cve@mitre.org
10	http://www.vupen.com/english/advisories/2007/1444	cve@mitre.org
11	https://bugzilla.redhat.com/show_bug.cgi?id=237533	cve@mitre.org
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/33733	cve@mitre.org
13	https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00065.html	cve@mitre.org
14	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=419255	af854a3a-2127-422b-91ae-364da2661108
15	http://bugs.proftpd.org/show_bug.cgi?id=2922	af854a3a-2127-422b-91ae-364da2661108
16	http://osvdb.org/34602	af854a3a-2127-422b-91ae-364da2661108
17	http://secunia.com/advisories/24867	af854a3a-2127-422b-91ae-364da2661108
18	http://secunia.com/advisories/25724	af854a3a-2127-422b-91ae-364da2661108
19	http://secunia.com/advisories/27516	af854a3a-2127-422b-91ae-364da2661108
20	http://securitytracker.com/id?1017931	af854a3a-2127-422b-91ae-364da2661108
21	http://www.mandriva.com/security/advisories?name=MDKSA-2007:130	af854a3a-2127-422b-91ae-364da2661108
22	http://www.securityfocus.com/bid/23546	af854a3a-2127-422b-91ae-364da2661108
23	http://www.vupen.com/english/advisories/2007/1444	af854a3a-2127-422b-91ae-364da2661108
24	https://bugzilla.redhat.com/show_bug.cgi?id=237533	af854a3a-2127-422b-91ae-364da2661108
25	https://exchange.xforce.ibmcloud.com/vulnerabilities/33733	af854a3a-2127-422b-91ae-364da2661108
26	https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00065.html	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧