发布日期：2000-03-01
更新日期：2000-03-01

受影响系统：

Cat Soft Serv-U 2.5d
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
Cat Soft Serv-U 2.5c
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
Cat Soft Serv-U 2.5b
   - Microsoft Windows 3.1
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
Cat Soft Serv-U 2.5a
   - Microsoft Windows 3.1
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
Cat Soft Serv-U 2.5
   - Microsoft Windows 3.1
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
Cat Soft Serv-U 2.4x
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0

描述：

---

来源：Berk Ulsoy <berk@mutek.org.tr>

    Serv-U的缺省设置会在特定环境下泄露绝对路径信息。
    当用户尝试下载不存在文件或切换到不存在目录时，服务器返回信息：
    
550 /d:/ftproot/nonexist: No such file or directory.

    而当用户切换路径到有效目录时，服务器返回信息：
    
250 Directory changed to /d:/ftproot/exist

    这些信息可能被用于实施其它类型的攻击。
    


建议：

---

临时解决方法：
    对于版本2.5b，运行用户或组管理器，选择用户名或组名，单击'Misc.'按钮和第二个选项'Show path relative to homedir'。打开这个选项后服务器返回的信息如下：
    
550 /nonexist: No such file or directory.
和
250 Directory changed to /exist

注意，必须对每个用户和组进行此项操作。



浏览次数：7235
严重程度：0（网友投票）