发布日期：2002-05-01
更新日期：2002-05-09

受影响系统：

HP MPE/iX 7.0
HP MPE/iX 6.5
HP MPE/iX 6.0

描述：

---

BUGTRAQ  ID: 4652
CVE(CAN) ID: CVE-2002-0610

MPE/iX是一款惠普公司开发和维护的适合在HP E3000级服务器上使用的Internet集成操作系统。

MPE/iX系统中的FTP服务对用户输入缺少正确充分的检查，可以导致远程攻击者以FTP进程的权限在目标系统上执行任意命令。

由于MPE/iX系统对FTP用户输入（包括匿名用户）数据处理缺少正确的检查，攻击者可以通过构建嵌入任意命令的字符串作为参数提交给LIST命令，导致以FTP进程的权限在目标系统上执行任意命令。

<*来源：HP Security Advisory
  
  链接：*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在安装补丁前关闭FTP服务。

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBMP0204-014）以及相应补丁:
HPSBMP0204-014：Sec. Vulnerability in MPE/iX FTPSRVR
链接：

补丁下载：

HP MPE/iX 6.0:

HP Patch FTPGD91A
http://itrc.hp.com

HP MPE/iX 6.5:

HP Patch FTPGD92A
http://itrc.hp.com

HP MPE/iX 7.0:

HP Patch FTPGD93A
http://itrc.hp.com

浏览次数：3917
严重程度：0（网友投票）