多个提供商的FTP客户端文件覆盖漏洞发布时间:2002-12-11 更新时间:2002-12-16 严重程度:高 威胁程度:远程拒绝服务 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:6360 CVE(CAN) ID:CAN-2002-1345 受影响系统 NcFTP Software NcFTP 3.0 .0详细描述 多个提供商的FTP客户端在处理 NLST 响应的时候存在不安全因素。当NLST响应被FTP服务器端发送,RFC中要求FTP客户端检查是否包含目录信息,一些FTP客户端没有正确检查该信息,允许远端的FTP服务器覆盖客户端系统上的文件。 测试代码 尚无 解决方案 配置FTP客户端提示当要下载的文件存在的时候。这是多数FTP客户端的默认配置。 下载下面补丁: NcFTP Software NcFTP 3.0 .0: NcFTP Software NcFTP 3.0.1: NcFTP Software NcFTP 3.0.2: NcFTP Software NcFTP 3.0.3: NcFTP Software NcFTP 3.0.4: NcFTP Software NcFTP 3.1 .0: NcFTP Software Upgrade ncftp-3.1.5-src.tar.gz ftp://ftp.ncftp.com/ncftp/ncftp-3.1.5-src.tar.gz NcFTP Software NcFTP 3.1.1: NcFTP Software Upgrade ncftp-3.1.5-src.tar.gz ftp://ftp.ncftp.com/ncftp/ncftp-3.1.5-src.tar.gz NcFTP Software NcFTP 3.1.2: NcFTP Software Upgrade ncftp-3.1.5-src.tar.gz ftp://ftp.ncftp.com/ncftp/ncftp-3.1.5-src.tar.gz NcFTP Software NcFTP 3.1.3: NcFTP Software Upgrade ncftp-3.1.5-src.tar.gz ftp://ftp.ncftp.com/ncftp/ncftp-3.1.5-src.tar.gz NcFTP Software NcFTP 3.1.4: NcFTP Software Upgrade ncftp-3.1.5-src.tar.gz ftp://ftp.ncftp.com/ncftp/ncftp-3.1.5-src.tar.gz 相关信息 相关连接: 20021205-01-A: Directory Traversal Vulnerability in FTP Client (SGI) http://online.securityfocus.com/advisories/4779 Directory Traversal Vulnerabilities in FTP Clients http://online.securityfocus.com/archive/1/302956 |
