发布日期：2002-05-28
更新日期：2002-06-03

受影响系统：

FileZilla FileZilla Server 0.7.1
FileZilla FileZilla Server 0.7.0

描述：

---

BUGTRAQ  ID: 4865

FileZilla FTP Server是一款小型FTP服务程序，可使用在Microsoft Windows操作系统下。

FileZilla FTP Server对用户输入过滤不充分，使远程攻击者可能以ftp进程的权限遍历主机上的目录，读取任意它有权限读取的文件。

攻击者可以在FTP命令中提交包含'/../'或者'..'字符的参数进行目录遍历，导致绕过ftp root目录限制而以ftp进程的权限遍历主机上的文件系统。

<*来源：Stephen Cope （mail@unsolicited.kimihia.org.nz）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0244.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在防火墙上对FileZilla FTP Server做访问限制，只允许可信用户访问。

厂商补丁：

FileZilla
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

FileZilla Upgrade FileZilla_Server_0_7_1
http://prdownloads.sourceforge.net/filezilla/FileZilla_Server_0_7_1.exe



浏览次数：5374
严重程度：0（网友投票）