ProFTPD 远程拒绝服务漏洞CVE-2021-47865

ProFTPD（Pro FTP daemon）是一款免费开源的 FTP 服务器软件，主打高度可配置性与模块化扩展，在类 Unix 系统中应用非常广泛。

一、基本情况

ProFTPD同时也可通过Cygwin在 Windows 上运行，遵循 GPL-2.0-or-later 协议，网络兼容支持 IPv6、被动模式，适配现代网络环境。

ProFTPD并非基于传统BSD ftpd代码改写，而是全新设计的FTP服务器，受Apache启发，配置风格与后者相似，降低管理员学习成本。

栋科技漏洞库关注到 ProFTPD 1.3.7a 中存在的一个拒绝服务漏洞，该漏洞现在已经被追踪为CVE-2021-47865，CVSS 4.0评分为8.7。

二、漏洞分析

CVE-2021-47865漏洞是存在于ProFTPD 1.3.7a存在一个拒绝服务漏洞，攻击者可利用该漏洞通过创建多个同时FTP连接来淹没服务器。

由于服务器可用连接数量有限，ProFTPD受影响版本易受拒绝服务（DoS）攻击，远程攻击者可人为创建多个连接耗尽可用连接额度。

攻击者可利用线程反复建立连接，耗尽服务器连接限制并阻止合法用户访问，这将导致ProFTPD拒绝合法客户端的新连接。

三、影响范围

ProFTPD 1.3.7a

四、修复建议

ProFTPD > 1.3.7a

五、参考链接

管理员已设置登录后刷新可查看