安全研究
安全漏洞
Cerberus FTP Server远程信息泄露漏洞
发布日期:2003-04-16
更新日期:2003-04-22
受影响系统:Cerberus FTP Server 2.1
- Microsoft Windows XP
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000
描述:
BUGTRAQ ID:
7369
Cerberus FTP Server是一款简单的FTP服务程序。
Cerberus FTP服务程序在验证过程中返回的应答信息存在问题,远程攻击者可以利用这个漏洞判断出用户是否存在。
在进行验证过程中,Cerberus FTP服务程序对合法用户和非法用户应答的消息不同,攻击者凭此可以判断用户是否存在,通过猜测可以获得用户信息。
<*来源:Ziv Kamir (
vulncode@yahoo.com)
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Ziv Kamir (
vulncode@yahoo.com)提供了如下测试方法:
c:\ ftp www.example.com
User (X.X.X.X:(none)): Not_Valid_User
530 Unknown user
***
Login failed.
Valid User ( The Username Is Hack )
----------
c:\ ftp www.example.com
User (X.X.X.X:(none)): Hack
331 User Hack Ok, password please
***
Password:
建议:
厂商补丁:
Cerberus
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cerberusftp.com/浏览次数:2978
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |