【注意】不看就吃亏了真的

【注意】不看就吃亏了真的

重大安全漏洞

--------------------------------------------------------------------------------

Serv-U安装文件ServUDaemon.ini泄漏敏感信息漏洞

-------------------------------------------------------------------------------------------------

受影响系统:

Serv-U FTP Server 3.x for (其他版本不详,应该也存在这个问题)
windows 2000
windows NT

描述:
Serv-U FTP Server是一款非常普遍的FTP服务器.他功能强大,简单易用,可
以运行于任何windows平台.现在发现它的一些ini文件可以泄漏用户的敏感信息.
利用该漏洞可以给系统安全造成严重危害.
本地恶意用户只要能够访问这些文件可以获取甚至包括服务器用户账号,该账号密
码,根目录等等敏感信息.远程入侵者结合其他漏洞(比如Unicode,也将可以利用该
漏洞).

测试方法:

现提供一个测试方法:
打开ServUDaemon.ini文件.
[GLOBAL]
...........
[Domain1]
User1=Anonymous|1|0
User2=920|1|0
User3=anubis|1|0 <------泄漏账号以及相关信息....
User4=tw|0|0
User5=spr|1|0
User6=lswwm|1|0
User7=anan|1|0
User8=penghua|1|0
User9=one5|1|0

...............
[USER=penghua|1] <--------- 泄漏账号
Password=penghua62251<---------明文密码!!!!(意味着你可以凭借此进入主机)
HomeDir=C:\home\penghua <-------泄漏根目录.
RelPaths=1
AlwaysAllowLogin=1
ChangePassword=1
DiskQuota=1|20480000|8307985
TimeOut=600
Access1=C:\home\penghua|RWAMLCDP
[USER=ding|1]
Password=xiao
HomeDir=c:\home\ding
RelPaths=1
AlwaysAllowLogin=1
ChangePassword=1
DiskQuota=1|20480000|19701299
TimeOut=600
Access1=C:\home\ding|RWAMLCDP Re:【注意】不看就吃亏了真的

老掉牙的漏洞。。看看我自己这台服务器是否有这些可笑的漏洞吧？哈哈 Re:【注意】不看就吃亏了真的

是吗？ Re:【注意】不看就吃亏了真的

这台漏洞多着呢！ Re:【注意】不看就吃亏了真的

我不知道或 Re:【注意】不看就吃亏了真的

是什么啊 Re:【注意】不看就吃亏了真的

上啊 Re:【注意】不看就吃亏了真的

看不明白，。看了还是不明白 ~~ Re:【注意】不看就吃亏了真的

哇！太那个了吧，不明白呀 Re:【注意】不看就吃亏了真的

真的吗？ Re:【注意】不看就吃亏了真的

漏洞这方面我不太懂。请指教。

欢迎光临空网论坛 (http://bbs.kongweb.net/)

作者: 飞龙CX 时间: 2003-2-20 11:38