发布日期：2001-08-04
更新日期：2001-08-13

受影响系统：

NetWin SurgeFTP 2.0f
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
NetWin SurgeFTP 2.0e
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
NetWin SurgeFTP 2.0d
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
NetWin SurgeFTP 2.0c
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
NetWin SurgeFTP 2.0b
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - S.u.S.E. Linux 7.0
   - RedHat Linux 7.0
   - Microsoft Windows 98
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
   - MandrakeSoft Linux Mandrake 7.2
   - Debian Linux 2.2
NetWin SurgeFTP 2.0a
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - S.u.S.E. Linux 7.0
   - RedHat Linux 7.0
   - Microsoft Windows 98
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000
   - MandrakeSoft Linux Mandrake 7.2
   - Debian Linux 2.2

描述：

---

BUGTRAQ  ID: 3157
CVE(CAN) ID: CAN-2001-1356

SurgeFTP是由NetWin发布的Windows和UNIX平台下的FTP服务器软件。

由于SurgFTP的密码使用脆弱的散列算法加密，并且使用单一固定的salt，导致攻击者
可以快速对管理员密码进行穷举破解，而且用一个密码密文可能对应多个不同的密码明
文。

<*来源：ByteRage （byterage@yahoo.com） *>


建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://netwinsite.com/


浏览次数：5353
严重程度：0（网友投票）