Pablo Software Solutions FTP服务程序存在文件/目录泄露漏洞

发布时间：2002-07-26
更新时间：2002-07-26
严重程度：高
威胁程度：远程非授权文件存取
错误类型：输入验证错误
利用方式：服务器模式

BUGTRAQ ID：5283

受影响系统

Pablo Software Solutions FTP Server 1.0
   - Microsoft Windows 98
   - Microsoft Windows NT Workstation 4.0
   - Microsoft Windows NT Workstation 4.0 SP1
   - Microsoft Windows NT Workstation 4.0 SP2
   - Microsoft Windows NT Workstation 4.0 SP3
   - Microsoft Windows NT Workstation 4.0 SP4
   - Microsoft Windows NT Workstation 4.0 SP5
   - Microsoft Windows NT Workstation 4.0 SP6
   - Microsoft Windows NT Workstation 4.0 SP6a
   - Microsoft Windows XP Home

详细描述
Pablo Software Solutions FTP server存在目录遍历漏洞，攻击者可以利用这个漏洞绕过FTP ROOT目录限制，和浏览服务器上所有任意目录和文件内容。

通过发送多个dir \..\命令可以进行目录遍历。

测试代码
dir \..\

解决方案
下载使用：

Pablo's FTP Server Build 10
http://www.pablovandermeer.nl/ftp_server.html

相关信息
Securiteinfo.com <webmaster@securiteinfo.com>
参考：http://online.securityfocus.com/archive/1/283665

最近严重漏洞

Pablo Software Solutions FTP服务程序存在文件/目录泄露漏洞