安全研究
安全漏洞
HP MPE/iX FTPSRVR任意SHELL命令执行漏洞
发布日期:2002-05-01
更新日期:2002-05-09
受影响系统:HP MPE/iX 7.0
HP MPE/iX 6.5
HP MPE/iX 6.0
描述:
BUGTRAQ ID:
4652
CVE(CAN) ID:
CVE-2002-0610
MPE/iX是一款惠普公司开发和维护的适合在HP E3000级服务器上使用的Internet集成操作系统。
MPE/iX系统中的FTP服务对用户输入缺少正确充分的检查,可以导致远程攻击者以FTP进程的权限在目标系统上执行任意命令。
由于MPE/iX系统对FTP用户输入(包括匿名用户)数据处理缺少正确的检查,攻击者可以通过构建嵌入任意命令的字符串作为参数提交给LIST命令,导致以FTP进程的权限在目标系统上执行任意命令。
<*来源:HP Security Advisory
链接:*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在安装补丁前关闭FTP服务。
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBMP0204-014)以及相应补丁:
HPSBMP0204-014:Sec. Vulnerability in MPE/iX FTPSRVR
链接:
补丁下载:
HP MPE/iX 6.0:
HP Patch FTPGD91A
http://itrc.hp.com
HP MPE/iX 6.5:
HP Patch FTPGD92A
http://itrc.hp.com
HP MPE/iX 7.0:
HP Patch FTPGD93A
http://itrc.hp.com浏览次数:3917
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |