CVE-2004-1428
CVSS5.0
发布时间 :2004-12-31 00:00:00
修订时间 :2016-10-17 22:54:36
NMCO    

[原文]ArGoSoft FTP before 1.4.2.1 generates an error message if the user name does not exist instead of prompting for a password, which allows remote attackers to determine valid usernames.


[CNNVD]ArGoSoft FTP Server泄露合法用户名允许暴力猜解漏洞(CNNVD-200412-956)

        
        ArGoSoft FTP Server是一款轻量级FTP服务程序。
        ArGoSoft FTP Server不正确处理验证过程,远程攻击者可以利用这个漏洞获得合法用户名并可能进行暴力猜解。
        ArGoSoft FTP Server 1.4.2.1对USER命令处理不充分,提交合法用户名的USER命令会返回正常密码提示符,但如果非法用户名就会返回:
        530 User NAME_HERE does not exist
        通过这些信息可猜解合法用户名。
        另外ArGoSoft FTP Server 1.4.2.4可多次使用用户名/密码组合进行尝试连接,结合其他漏洞可导致暴力猜解访问FTP程序。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

cpe:/a:argosoft:ftp_server:1.4.1.5
cpe:/a:argosoft:ftp_server:1.4.1.8
cpe:/a:argosoft:ftp_server:1.4.1.9
cpe:/a:argosoft:ftp_server:1.4.1.2
cpe:/a:argosoft:ftp_server:1.4.2.1
cpe:/a:argosoft:ftp_server:1.4.1.3
cpe:/a:argosoft:ftp_server:1.4.1.6
cpe:/a:argosoft:ftp_server:1.4.1.1
cpe:/a:argosoft:ftp_server:1.4.1.4
cpe:/a:argosoft:ftp_server:1.4.2
cpe:/a:argosoft:ftp_server:1.4.1.7

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1428
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-1428
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200412-956
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=110451582011666&w=2
(UNKNOWN)  BUGTRAQ  20041231 ArGoSoft FTP Server reveals valid usernames and allows for brute force attacks
http://securitytracker.com/id?1012744
(UNKNOWN)  SECTRACK  1012744
http://www.argosoft.com/ftpserver/changelist.aspx
(UNKNOWN)  CONFIRM  http://www.argosoft.com/ftpserver/changelist.aspx
http://www.lovebug.org/argosoft_advisory.txt
(UNKNOWN)  MISC  http://www.lovebug.org/argosoft_advisory.txt
http://www.securityfocus.com/bid/12139
(UNKNOWN)  BID  12139
http://xforce.iss.net/xforce/xfdb/18721
(UNKNOWN)  XF  argosoft-information-disclosure(18721)

- 漏洞信息

ArGoSoft FTP Server泄露合法用户名允许暴力猜解漏洞
中危 设计错误
2004-12-31 00:00:00 2005-10-20 00:00:00
远程  
        
        ArGoSoft FTP Server是一款轻量级FTP服务程序。
        ArGoSoft FTP Server不正确处理验证过程,远程攻击者可以利用这个漏洞获得合法用户名并可能进行暴力猜解。
        ArGoSoft FTP Server 1.4.2.1对USER命令处理不充分,提交合法用户名的USER命令会返回正常密码提示符,但如果非法用户名就会返回:
        530 User NAME_HERE does not exist
        通过这些信息可猜解合法用户名。
        另外ArGoSoft FTP Server 1.4.2.4可多次使用用户名/密码组合进行尝试连接,结合其他漏洞可导致暴力猜解访问FTP程序。
        

- 公告与补丁

        厂商补丁:
        ArGoSoft
        --------
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.argosoft.com/

- 漏洞信息

11335
ArGoSoft FTP Server USER Command Account Enumeration
Remote / Network Access Information Disclosure
Loss of Confidentiality Upgrade
Exploit Public Vendor Verified

- 漏洞描述

ArGoSoft FTP Server contains a flaw that may allow disclosure of sensitive information. The issue is due to the product confirming or denying the existence of a user account when processing the USER command before issuing the "331 Need Password" command. It is possible that the flaw may allow an attacker to determine the existence of a particular user account resulting in a loss of confidentiality.

- 时间线

2004-10-27 Unknow
2004-10-27 Unknow

- 解决方案

Upgrade to version 1.4.2.1 or higher, as it has been reported to fix this vulnerability. An upgrade is required as there are no known workarounds.

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站