发布日期：2001-05-31
更新日期：2001-05-31

受影响系统：

DrPhibez and Nitro187 Guild FTPD 0.9.7
   - Microsoft Windows 98
   - Microsoft Windows NT 4.0

描述：

---

BUGTRAQ  ID: 2789
CVE(CAN) ID: CAN-2001-0767

GuildFTPD 是一个Microsoft Windows 9x/NT平台下的免费FTP服务器

GuildFTPD 存在一个目录遍历漏洞，攻击者可能浏览FTP服务器任意目录或下载任意文件。
攻击者可以使用"../"技术来进行目录遍历。


<* 来源：ByteRage (byterage@yahoo.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

例如，执行下列命令可以浏览windows目录下的内容：
LS /../../windows/*

执行下列命令可以下载windows目录下的文件：

GET /../windows/system.ini c:\received-file.txt



建议：

---

临时解决方法：

禁止不可信用户访问您的FTP服务器。

厂商补丁：

目前厂商还没有提供补丁程序，您可以随时关注厂商主页获取最新版本：
http://guildftpd.ztnet.com/index.html

浏览次数：4821
严重程度：0（网友投票）