WU-FTPD MAIL_ADMIN 函数远程溢出

high Nessus 插件 ID 14371

简介

远程 FTP 服务器受到缓冲区溢出漏洞的影响。

描述

在启用了 MAIL_ADMIN 的情况下编译 Wu-Ftpd 时,远程 Wu-FTPD 服务器无法正确检查路径名上的边界,会造成缓冲区溢出。通过特别构建的请求,攻击者可能会以用户 Wu-Ftpd 运行的身份(通常为 root)执行任意代码,造成完整性和/或可用性的损失。

应注意的是,Wu-Ftpd 的默认安装中不存在此漏洞。

必须使用“MAIL_ADMIN”选项来配置该服务器以在上传文件时通知管理员。

*** Nessus 仅依赖远程服务器的标题
*** 来发布此警告,因此这可能是误报。

解决方案

请升级到 Wu-FTPd 2.6.3 或更高版本。

另见

https://seclists.org/bugtraq/2003/Sep/336

插件详情

严重性: High

ID: 14371

文件名: wu_ftpd_mail_admin.nasl

版本: 1.22

类型: remote

系列: FTP

发布时间: 2004/8/25

最近更新时间: 2018/11/15

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

必需的 KB 项: ftp/login, ftp/wuftpd, Settings/ParanoidReport

易利用性: No known exploits are available

漏洞发布日期: 2003/9/22

参考资料信息

CVE: CVE-2003-1327

BID: 8668