首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
PlatinumFTPServer命令行参数格式串处理漏洞
来源:vittersafe.yeah.net 作者:vitter 发布时间:2003-12-29  

PlatinumFTPServer命令行参数格式串处理漏洞

受影响系统:
PlatinumFTP PlatinumFTP 1.0.18
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 9262

PlatinumFTPServer是一款FTP服务程序。

PlatinumFTPServer多个函数不正确接收格式串参数,远程攻击者可以利用这个漏洞进行格式字符串攻击,可能以FTP进程权限在系统上执行任意指令。

PlatinumFTPServer程序包含的'user'、'mkdir'、'rename'命令对参数缺少充分检查,提交包含格式串的数据给这些FTP命令,可破坏内存信息,精心构建提交数据可能以进程权限在系统上执行任意指令。

<*来源:Jan-Olivier Filiols
Philippe Oechslin
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Jan-Olivier Filiols 提供了如下测试方法:

user %s%s%s%s
mkdir %s%s%s%s
rename filename %s%s%s%s

建议:
--------------------------------------------------------------------------------
厂商补丁:

PlatinumFTP
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.platinumftp.com/platinumftpserver.php




 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·lftp Try_Squid_Eplf远程缓冲区
·Microsoft Internet Explorer文
·lftp Try_Netscape_Proxy远程缓
·IBM安全公告:修正IBM-based Ser
·Cisco安全公告:Cisco防火墙新增
·Microsoft IIS服务跟踪日志绕过
·Sun安全公告:Sun ONE Applicati
·Cisco安全公告:修正Cisco Acces
·XSOK环境变量本地命令执行漏洞
·Knowledge Builder存在远程代码
·Webcam Watchdog 存在缓冲溢出缺
·亿恩免费留言薄MSSQL版存在修改
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved