安全研究

安全漏洞
Mindstorm Networks SmartFTP Daemon 目录遍历漏洞

发布日期:2000-06-16
更新日期:2000-06-16

受影响系统:

    Mindstorm Networks SmartFTP Daemon 0.2
       - Microsoft Windows 98
       - Microsoft Windows 95
描述:

Mindstorm Networks SmartFTP Daemon 每次增加帐号时,创建一个唯一的文件,包
含帐号口令、权限等信息,文件名形如username.FTP_user。如果已经存在的帐号(包
括匿名帐号)拥有写权限,就有可能上载一个自定义的username.FTP_user文件,该文
件中指定的帐号拥有最高权限。当出现登录提示符的时候,本来应该输入用户名,但
通过输入"../<path>/username"就会使用前面上传的帐号文件,进而获得最高权限。

<* 来源:Moritz Jodeit mjodeit@gmx.de *>



建议:

    Mindstorm Networks 已经得知这个问题,计划在将来的版本中修正它,目前可以下
    载Moritz Jodeit提供的非官方补丁:
    http://internet.exit.de/jodeit/sfd029hf.zip


浏览次数:7224
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障