Множественные уязвимости в Novell iChain Mini FTP Server

Дата публикации:
11.03.2005
Всего просмотров:
1066
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Novell iChain Mini FTP Server 2.3 и более ранние версии

Описание:
Уязвимости позволяют удаленному пользователю получить административный доступ к службе, произвести подбор пароля и получить данные об установочной директории приложения.

1. Удаленный пользователь с возможностью мониторинга сети может внедриться в сессию администратора. Злоумышленник может перехватить пакеты на TCP порт 51100 и извлечь из них файл куки PCZQX02, отвечающий за авторизацию. Затем с помощью iChain сервера, контролируемого атакующим, сделать переадресацию трафика с использованием перехваченного куки на целевой сервер.

2. Раскрытие установочной директории возможно, если управление доступом не разрешено для FTP сервера. Удаленный пользователь может с помощью команды FTP PWD получить полный путь к рабочей директории.

3. Возможна брут-форс атака. FTP сервер не ограничивает количество неудачных попыток пройти авторизацию. Удаленный пользователь может произвести брут-форс атаку и получить доступ к личным данным других пользователей.

URL производителя: http://www.novell.com

Решение: Способов устранения уязвимости не существует в настоящее время.

или введите имя

CAPTCHA