English

◀◁ 뒤로 취약점ID 16036 위험도 40 포트 21 프로토콜 TCP 분류 FTP 상세설명 해당 Serv-U FTP 서버는 디렉토리 탐색 취약점을 가지고 있다. FTP Serv-U는 CatSoft에 의해 만들어진 인터넷 FTP 서버이다. 인증된 사용자들은 Serv-U FTP가 설치되어 있는 드라이브의 FTP root를 액세스할 수 있다. 홈 디렉토리에 대한 읽기, 쓰기, 실행, 리스트 권한을 가진 사용자들은 FTP root 디렉토리와 동일한 파티션상에 존재하는 임의의 파일에 대해 동일한 퍼미션을 가진다. 2.5i 미만의 Serv-U FTP 서버에 존재하는 결함은 원격지의 공격자가 "dot dot" 시퀀스 (/..%20)를 포함하는 특이한 GET 요청을 보내 임의의 파일들을 액세스할 수 있게 해 준다. 이때 모든 감춰진 (hidden) 파일들은 "감춰진 파일 숨기기" 기능이 켜져 있더라도 보여진다. 이 취약점이 성공적으로 도용된다면 원격지의 사용자는 패스워드 파일 등과 같은 시스템 파일들을 액세스할 수 있으며 이는 호스트의 제어권이 완전히 사용자에게 넘어갈 수 있게 해 준다. * 참고 사이트: http://online.securityfocus.com/bid/2052 http://www.iss.net/security_center/static/5639.php * 영향을 미치는 플랫폼: Cat Soft Serv-U FTP 2.5i 이전 버전들 Cat Soft Serv-U FTP 버전 3.0 beta 해결책 다음 Deerfield.com 웹사이트의 "Download"로 부터 FTP Serv-U의 가장 최신 버전 (2.5i 이상)을 구하여 업그레이드 하여야 한다: http://www.serv-u.com/dn.asp 관련 URL CVE-2001-0054 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)