您当前的位置: 首页 网吧分会专栏 网吧动态

TwinFTP Sever 绕过目录引起信息泄露的漏洞

发布时间: 2009-09-23 丨 阅读次数: 17383

名称:TwinFTP Sever绕过目录引起信息泄露漏洞
发布日期:2004-09-12
等级:高
影响:系统信息泄露、敏感信息泄露

漏洞描述:

--------------------------------------------------------------------------------
TwinFTP Server是一款由 Jigunet 公司发布的基于Windows平台的FTP服务器。
在TwinFTP Server中发现存在的这个安全漏洞允许攻击者从外部进入服务器内任意文件。
提交给CWD、STOR和RETR命令的目录名缺少正确过滤,当提交如".../winnt"的字符时,可以绕过目录的限制。如成功利用此漏洞,攻击者可以以进程权限查看文件内容。

受影响的软件:

--------------------------------------------------------------------------------
· Twin FTP Server 1.x

解决方案:

--------------------------------------------------------------------------------
· 升级到2004.09.10发布的版本1.0.3 R3