发布日期：2001-12-19
更新日期：2001-12-24

受影响系统：

DataWizard FtpXQ 2.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
DataWizard FtpXQ 2.1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 3716
CVE(CAN) ID: CVE-2001-1213

FtpXQ是一款基于MS操作系统的ftp服务器程序，由Datawizard Technologies维护并发布。

该软件存在一个安全问题，可能导致敏感信息泄露或系统数据被破坏。

这是由于FtpXQ内置的缺省帐号对C:\拥有读写权限造成的。

<*来源：Brice Carlson （tuck167@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0195.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 配置FtpXQ，限制该缺省帐号只能对FTP根目录有访问权限

厂商补丁：

DataWizard
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.datawizard.net/index.htm

浏览次数：3162
严重程度：0（网友投票）