发布日期：2001-06-19
更新日期：2001-07-03

受影响系统：

NetWin SurgeFTP 2.0a Win 95/98
NetWin SurgeFTP 1.0b Win 95/98
   - Microsoft Windows 98
   - Microsoft Windows 95

不受影响系统：

NetWin SurgeFTP 2.0b Win 95/98
   - Microsoft Windows 98
   - Microsoft Windows 95

描述：

---

BUGTRAQ  ID: 2892
CVE(CAN) ID: CVE-2001-0698

SurgeFTP服务器是Netwin公司出品的一个多平台的FTP服务器。

它的for win95/98版本存在一个目录遍历漏洞，攻击者可以获取ftp根目录以外的目录列表。
目前尚未证实是否此问题也影响NT下的版本。

<*来源：SDL Office (bugtraq@sentry-labs.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

SDL Office (bugtraq@sentry-labs.com)提供了下列测试代码：

以匿名用户登录后，执行"nlist ..."可以列出上层目录的内容。




建议：

---

厂商补丁：

NetWin SurgeFTP 2.0b已经解决了此问题，请使用问题版本的用户尽快升级到此版本或者
更高版本：
www.netwinsite.com/surgeftp



浏览次数：4785
严重程度：0（网友投票）