发布日期：2004-05-29
更新日期：2004-06-03

受影响系统：

jftpgw jftpgw 0.13.3
jftpgw jftpgw 0.13.2
jftpgw jftpgw 0.13
jftpgw jftpgw 0.13.1
    - Debian Linux 3.0

不受影响系统：

jftpgw jftpgw 0.13.4

描述：

---

BUGTRAQ  ID: 10438
CVE(CAN) ID: CVE-2004-0448

jftpgw是一款FTP代理程序。

jftpgw FTP proxy存在远程格式串问题，远程攻击者可以利用这个漏洞以jftpgw进程权限在系统上执行任意指令。

问题是log()函数中的syslog(3)存在格式串问题，提交恶意格式串数据可破坏内存数据，可能以jftpgw进程权限在系统上执行任意指令。

<*来源：Jaguar
  
  链接：http://www.debian.org/security/2004/dsa-510
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2004/dsa-510

浏览次数：3084
严重程度：0（网友投票）