发布日期：2004-03-09
更新日期：2004-03-11

受影响系统：

Washington University wu-ftpd 2.6.1
Washington University wu-ftpd 2.6.0
Washington University wu-ftpd 2.6.2
    - Debian Linux 3.0

描述：

---

BUGTRAQ  ID: 9832
CVE(CAN) ID: CVE-2004-0148

Wu-ftpd是一个基于BSD ftpd的FTP服务器程序，由华盛顿大学维护。

Wu-ftpd在处理目录限制访问实现上存在问题，远程攻击者可以利用这个漏洞绕过受限目录，访问ROOT目录内容。

Glenn Stewart发现用户可通过更改他们HOME目录上的权限绕过由'restricted-gid'选项限制的目录访问策略。在后续的登录中，当访问用户的HOME目录被拒绝后，wu-ftpd会返回到ROOT目录中，目前没有提供详细漏洞细节。

<*来源：Debian Security Advisory
  
  链接：http://www.debian.org/security/2004/dsa-457
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2004/dsa-457

浏览次数：4387
严重程度：0（网友投票）