xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Sun Microsystems Solaris FTP客户端调式模式密码显示漏洞


发布时间:2003-02-28
更新时间:2003-02-28
严重程度:
威胁程度:口令恢复
错误类型:设计错误
利用方式:物理接触

BUGTRAQ ID:6989

受影响系统
Sun Solaris 2.6 _x86
Sun Solaris 2.6
Sun Solaris 7.0 _x86
Sun Solaris 7.0
Sun Solaris 8.0 _x86
Sun Solaris 8.0
详细描述
Sun Microsystems系统下的FTP客户端存在漏洞,当使用 "ftp -d"时会进入调试模式,这时候输入的FTP密码会显示在屏幕上,可导致本地用户看到敏感信息。

    % ftp -d localhost
    Connected to localhost.
    220 hostname FTP server (SunOS 5.8) ready.
    Name (localhost:usera): myusername
    ---> USER myusername
    331 Password required for myusername.
    Password:
    ---> PASS my_secret_passwd
    230 User myusername logged in.

测试代码
尚无

解决方案
补丁下载:

Sun Solaris 2.6 _x86:

Sun Patch 106523-05
http://sunsolve.sun.com

Sun Solaris 2.6:

Sun Patch 106522-05
http://sunsolve.sun.com

Sun Solaris 7.0 _x86:

Sun Patch 107455-06
http://sunsolve.sun.com

Sun Solaris 7.0:

Sun Patch 107454-06
http://sunsolve.sun.com

Sun Solaris 8.0 _x86:

Sun Patch 108900-04
http://sunsolve.sun.com

Sun Solaris 8.0:

Sun Patch 108899-04
http://sunsolve.sun.com

相关信息
参考:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F51081
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved