Broker FTP目录权限存在问题发布时间:2000-11-28 更新时间:2000-11-28 严重程度:高 威胁程度:远程管理员权限 错误类型:配置错误 利用方式:服务器模式 受影响系统 TransSoft Broker FTP Server 4.7.5.0详细描述 TransSoft的BROKER FTP软件是一个NT/2000平台上的FTP工具,其中存在多个 漏洞允许远程攻击者浏览根目录并且可能获得帐户名字和密码。 在默认安装 过程中,BROKER FTP会询问用户是否建立一FTP马路给服务程序,如d:\FTP, 一旦安装完毕,任意用户包括匿名用户可以连接到服务并浏览整个盘。 第2个漏洞是远程攻击者可以访问用户名和密码帐户信息,如果BROKER FTP的 ROOT目录与安装的位置一样的话,未认证用户可以通过浏览的方法搜索%%WinDir%%\BrokerProfiels.Dat文件,这个文件以明文方式保存了密码和用户信息。 测试代码 见描述部分。 解决方案 升级程序: TransSoft Broker FTP Server 4.7.5.0: TransSoft upgrade broker40nt.exe http://www.transsoft.com/broker/updates/broker40nt.exe TransSoft upgrade broker40b.exe http://www.transsoft.com/broker/updates/broker40b.exe 相关信息 |
