发布日期：2001-03-06
更新日期：2001-03-06

受影响系统：

   Datawizard FtpXQ 2.0.93
    - Microsoft Windows 98se
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT 2000

描述：

---

BUGTRAQ  ID: 2426
CVE(CAN) ID: CAN-2001-0293

FtpQX 是为微软操作系统设计的 FTP 服务守护进程。它由
Datawizard Technologies 发行和维护。

该软件存在的一个问题使得可以访问受限资源。归咎于没有
对输入作足够的检查，有可能访问 FTP 根目录之外文件。通
过在 GET 请求中附加点，有可能穿过 FTP 根目录访问它的
上层目录，检索已知的文件。

这个漏洞使得恶意用户可以获取敏感信息，包括口令文件。

<* 来源：joetesta (joetesta@hushmail.com) *>





测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

  ftp> cd ..
  ftp> get ../../autoexec.bat


建议：

---

临时解决办法：

   NSFOCUS建议您换用别的替代产品。

厂商补丁：

   暂无


浏览次数：5019
严重程度：0（网友投票）