Множественные уязвимости в Novell iChain Mini FTP Server

Описание:
Уязвимости позволяют удаленному пользователю получить административный доступ к службе, произвести подбор пароля и получить данные об установочной директории приложения.

1. Удаленный пользователь с возможностью мониторинга сети может внедриться в сессию администратора. Злоумышленник может перехватить пакеты на TCP порт 51100 и извлечь из них файл куки PCZQX02, отвечающий за авторизацию. Затем с помощью iChain сервера, контролируемого атакующим, сделать переадресацию трафика с использованием перехваченного куки на целевой сервер.

2. Раскрытие установочной директории возможно, если управление доступом не разрешено для FTP сервера. Удаленный пользователь может с помощью команды FTP PWD получить полный путь к рабочей директории.

3. Возможна брут-форс атака. FTP сервер не ограничивает количество неудачных попыток пройти авторизацию. Удаленный пользователь может произвести брут-форс атаку и получить доступ к личным данным других пользователей.

URL производителя: http://www.novell.com

Решение: Способов устранения уязвимости не существует в настоящее время.