安全研究
安全漏洞
KDE Konqueror FTP URL过滤不当任意FTP命令执行漏洞
发布日期:2004-12-07
更新日期:2004-12-08
受影响系统:KDE Konqueror the web browser 3.3.1
KDE Konqueror the web browser 3.3
KDE Konqueror the web browser 3.2.1
KDE Konqueror the web browser 3.1.1
KDE Konqueror the web browser 3.1
KDE Konqueror the web browser 3.0.5
KDE Konqueror the web browser 3.0.3
KDE Konqueror the web browser 3.0.2
KDE Konqueror the web browser 3.0.1
KDE Konqueror the web browser 3.0
描述:
KDE是一款X Windows系统的图形桌面环境。Konqueror是K桌面环境的文件管理器,也可用于浏览WEB。
KDE Konqueror不正确过滤FTP URL中的数据,远程攻击者可以利用这个漏洞执行任意FTP命令。
Albert Puigsech Galicia报告远程用户可以建立一个特殊的FTP URL,当目标用户装载时,会在特定的FTP服务器上执行任意FTP命令,命令可追加在URL中,以'%0a'分割。
另外Microsoft IE也受此漏洞影响。
<*来源:Albert Puigsech Galicia (
ripe@7a69ezine.org)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=110245752232681&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Albert Puigsech Galicia (
ripe@7a69ezine.org)提供了如下测试方法:
ftp://ftpuser:ftppass@server/directory%0asomecommand%0a建议:
厂商补丁:
KDE
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.kde.org/浏览次数:4325
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |