发布日期:2004-02-26
受影响系统:
RhinoSoft Serv-U 5.0
RhinoSoft Serv-U 4.1.0.3
RhinoSoft Serv-U 4.1.0.11
不受影响系统:
RhinoSoft Serv-U 5.0.4
描述:
--------------------------------------------------------------------------------
Serv-U是一个Windows平台下使用非常广泛的FTP服务器软件 。
Serv-U在处理"MDTM"命令的参数时缺少正确的缓冲区边界检查,远程攻击者可以利用这个漏洞对FTP服务程序进行缓冲区溢出攻击,可能以FTP进程权限在系统上执行任意指令 。
Serv-U提供FTP命令"MDTM"用于用户更改文件时间,当用户成功登录系统,并发送畸形超长的时区数据作为命令参数,可触发缓冲区溢出,精心构建参数数据可能以FTP进程权限在系统上执行任意指令 。
利用此漏洞需要用户拥有合法帐户登录到系统,但不需要写及其他权限 。
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用 。使用者风险自负!
bkbll (bkbll@cnhonker.net)提供了如下的测试方法:
用合法的帐户登录进服务器以后,执行如下命令:
MDTM 20031111111111 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA /test.txt
建议:
--------------------------------------------------------------------------------
厂商补丁:
RhinoSoft
---------
目前厂商已经在最新版本的软件中修复了这个安全问题,请到厂商的主页下载:
http://www.serv-u.com/
推荐阅读
- 穿越火线CF如何卡BUG
- S55最新图片精彩放松
- 蚂蚁庄园今日答案最新4.12:以下哪种海洋动物没有大脑和心脏?
- 微信最新版本在哪里设置语言
- iphone13有几个颜色iphone13配色有几种最新颜色消息
- 5g手机哪款好用性价比高适合大学生用的手机推荐2021最新
- 5000左右的手机哪个性价比高 最新5千元左右手机推荐
- 绝对最新:Windows XP SP2最新技巧十则
- NG最新游戏,拳皇EX挑刺
- 保龄球游戏突破高分最新操作技巧