English

◀◁ 뒤로 취약점ID 16127 위험도 40 포트 69 프로토콜 UDP 분류 TFTP 상세설명 해당 Kiwi CatTools TFTP 서버는 디렉토리 탐색 공격에 취약하다. Kiwi CatTools는 장치 구성 관리를 위한 무료로 사용 가능한 어플리케이션이다. Kiwi CatTools에 있는 TFTP 서버 2.0.0에서 3.2.8까지의 버전들은 디렉토리 탐색 시퀀스들의 파일명들을 필터링하지 못함으로 인해서, 원격지의 공격자가 시스템 상에 있는 디렉토리들을 탐색할 수 있게 해 줄 수 있다. "dot dot" 디렉토리 탐색 시퀀스들(//..//)을 포함하고 있는 잘 조작된 PUT 혹은 GET 명령을 보냄으로써, 원격지의 공격자는 디렉토리들을 탐색하고 TFTP root 디렉토리 외부에 있는 파일들을 업로드 혹은 다운로드할 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/459500/30/0/threaded http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052288.html http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052697.html http://secunia.com/advisories/24103/ * 영향을 받는 플랫폼: Kiwi Enterprises, Kiwi CatTools 2.0.0에서 3.2.8까지의 버전들 Microsoft Windows Any version 해결책 다음 Kiwi Enterprises 보안 권고안을 참조하여 Kiwi CatTools의 가장 최신 버전(3.2.9 혹은 이후)으로 업그레이드 하여야 한다: http://www.kiwisyslog.com/kb/idx/5/178/article/ 관련 URL CVE-2007-0888 (CVE) 관련 URL 22490 (SecurityFocus) 관련 URL 32398 (ISS)