发布日期：2002-07-10
更新日期：2002-07-19

受影响系统：

Sharp Zaurus SL-5500
Sharp Zaurus SL-5000D

描述：

---

BUGTRAQ  ID: 5200
CVE(CAN) ID: CVE-2002-1974

Sharp Zaurus是由Sharp Electronics公司开发的PDA掌上设备产品。

Sharp Zaurus使用的FTP服务程序没有任何验证机制，远程攻击者可以利用这个漏洞进行远程root用户访问。

Sharp(R) Zaurus(tm) SL-5000D和SL-5500掌上设备使用FTP执行与PC的同步操作，FTP守护程序内置于Zaurus的QPE中，监听TCP 4242端口，FTP守护程序绑定在Zaurus所有网络接口中，包括所有无线网络接口或者PPP接口。其中FTP服务没有任何验证机制，任意远程用户可以以root用户权限访问Zaurus文件系统，如果设置为Zaurus设置root密码也没有任何效果，原因是FTP守护程序不使用任何验证机制。

默认情况下，Zaurus没有设置root用户口令。

<*来源：SURUAZ （suruaz@nemmerle.hpdc.syr.edu）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0093.html
        http://archives.neohapsis.com/archives/bugtraq/2002-07/0105.html
        http://archives.neohapsis.com/archives/bugtraq/2002-07/0113.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Sharp
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sharp-usa.com/

浏览次数：3035
严重程度：0（网友投票）