发布日期：2003-01-29
更新日期：2003-02-08

受影响系统：

Van Dyke Technologies SecureFX 2.1.2
Van Dyke Technologies SecureFX 2.0.4

不受影响系统：

Van Dyke Technologies SecureFX 2.1.3
Van Dyke Technologies SecureFX 2.0.5

描述：

---

BUGTRAQ  ID: 6727
CVE(CAN) ID: CVE-2003-0048

SecureFX是一款通过加密SSH2客户端提供FTP服务的程序，可使用在Win32平台下。

SecureFX没有安全处理密码信息，本地攻击者可以利用这个漏洞恢复用户验证密码信息。

SecureFX没有正确处理内存中的信息，允许本地攻击者访问内存或Dump内存信息而获得验证信息。当通过SSH2连接服务器时，攻击者可以搜索内存获得以明文方式存储的登录信息。

<*来源：iDEFENSE Labs （labs@idefense.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104386492422014&w=2
*>

建议：

---

厂商补丁：

Van Dyke Technologies
---------------------
目前厂商已经在新版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.vandyke.com/products

浏览次数：2697
严重程度：0（网友投票）