DoS и раскрытие информации в BisonFTP

Дата публикации:
21.02.2003
Всего просмотров:
672
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
BisonFTP Server V4R2
Описание: Удаленный атакующий может получить информацию о файлах, расположенных вне FTP root каталога. Удаленный пользователь может также заставить программу использовать все доступные ресурсы CPU.

Удаленный авторизованный пользователь, включая анонимного пользователя, может послать FTP команды 'ls' или 'cwd' с большим количеством данных (более 4300 байт), чтобы заставить BisonFTP сервер потреблять 100% ресурсов центрального процессора. Если пользователь закроет сокет, работа сервера возобновится в нормальном режиме. Также удаленный авторизованный пользователь может получить информацию о файлах, расположенных вне корневого FTP каталога:

ftp> ls @../
227 Entering PASV Mode (10,10,10,10,4,126)
150 Directory List Follows
-rwxrwxrwx 1 user group 739577 Feb 05 2002 BisonFTP42.exe
226 Listing complete.
ftp> mget @../Biso
local: BisonFTP42.exe remote: BisonFTP42.exe
227 Entering PASV Mode (10,10,10,10,4,128)
550 File does not exist
ftp>
Уязвимость обнаружена в BisonFTP v4r2

Ссылки: Mulitple vulnerabilities found in BisonFTP
или введите имя

CAPTCHA