受影响系统：ProFTPD Project ProFTPD 1.2.9ProFTPD Project ProFTPD 1.2.8ProFTPD Project ProFTPD 1.2.10描述：--------------------------------------------------------------------------------ProFTPd是一款流行的FTP服务程序。 ProFTPd在处理USER命令时对非法用户名处理存在时间差异，远程攻击者可以利用这个漏洞验证合法用户帐户名。 LSS Security Team报告通过对ProFTPd登录过程进行代码执行路径时间分析，可判断合法用户帐户名。远程用户估量传输USER命令和应答时间的差异，可判断帐户是否合法。 <*来源：Leon Juranic （ljuranic@LSS.hr）链接：http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02*> 建议：--------------------------------------------------------------------------------临时解决方法： 如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： * LSS Security Team提供了如下第三方补丁： proftpd-1.2.10/modules/mod_auth.c 1867a 1868,1877 > {> unsigned int randa;> struct timeval tv;> struct timezone tz;> gettimeofday (&tv, &tz);> srand(tv.tv_usec);> randa = rand() % 20000;> usleep(randa);> }> 厂商补丁： ProFTPD Project---------------目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本