安全研究

安全漏洞
Cerberus FTP Server远程信息泄露漏洞

发布日期:2003-04-16
更新日期:2003-04-22

受影响系统:
Cerberus FTP Server 2.1
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000
描述:
BUGTRAQ  ID: 7369

Cerberus FTP Server是一款简单的FTP服务程序。

Cerberus FTP服务程序在验证过程中返回的应答信息存在问题,远程攻击者可以利用这个漏洞判断出用户是否存在。

在进行验证过程中,Cerberus FTP服务程序对合法用户和非法用户应答的消息不同,攻击者凭此可以判断用户是否存在,通过猜测可以获得用户信息。

<*来源:Ziv Kamir (vulncode@yahoo.com
  *>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Ziv Kamir (vulncode@yahoo.com)提供了如下测试方法:

c:\ ftp www.example.com
User (X.X.X.X:(none)): Not_Valid_User
530 Unknown user
***
Login failed.
Valid User ( The Username Is Hack )
----------
c:\ ftp www.example.com
User (X.X.X.X:(none)): Hack
331 User Hack Ok, password please
***
Password:

建议:
厂商补丁:

Cerberus
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.cerberusftp.com/

浏览次数:2978
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障