CVE-2004-2769
CVSS4.0
发布时间 :2010-07-02 16:30:01
修订时间 :2010-07-06 00:00:00
NMCO    

[原文]Cerberus FTP Server before 4.0.3.0 allows remote authenticated users to list hidden files, even when the "Display hidden files" option is enabled, via the (1) MLSD or (2) MLST commands.


[CNNVD]Cerberus FTP Server多个权限许可和访问控制(CNNVD-201007-002)

        Cerberus FTP Server是一款适用在Windows操作系统上的FTP服务程序。
        Cerberus FTP Server 4.0.3.0之前版本存在漏洞,即使将"Display hidden files"选项开启的情况下,远程认证用户也可以通过(1) MLSD 或 (2) MLST 命令列出隐藏文件。

- CVSS (基础分值)

CVSS分值: 4 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: NETWORK [攻击者不需要获取内网访问权或本地访问权]
身份认证: SINGLE_INSTANCE [--]

- CWE (弱点类目)

CWE-264 [权限、特权与访问控制]

- CPE (受影响的平台与产品)

cpe:/a:cerberusftp:ftp_server:2.2:beta2Cerberus FTP Server 2.2 BETA2
cpe:/a:cerberusftp:ftp_server:2.4Cerberus FTP Server 2.4
cpe:/a:cerberusftp:ftp_server:3.0.7Cerberus FTP Server 3.0.7
cpe:/a:cerberusftp:ftp_server:2.41Cerberus FTP Server 2.41
cpe:/a:cerberusftp:ftp_server:2.2:beta1Cerberus FTP Server 2.2 BETA1
cpe:/a:cerberusftp:ftp_server:3.1.4Cerberus FTP Server 3.1.4
cpe:/a:cerberusftp:ftp_server:1.0:-Cerberus FTP Server 1.0 (initial release)
cpe:/a:cerberusftp:ftp_server:4.0.0Cerberus FTP Server 4.0.0
cpe:/a:cerberusftp:ftp_server:4.0.0.6Cerberus FTP Server 4.0.0.6
cpe:/a:cerberusftp:ftp_server:3.0.3Cerberus FTP Server 3.0.3
cpe:/a:cerberusftp:ftp_server:1.22Cerberus FTP Server 1.22
cpe:/a:cerberusftp:ftp_server:2.0:beta2Cerberus FTP Server 2.0 BETA2
cpe:/a:cerberusftp:ftp_server:3.1.2Cerberus FTP Server 3.1.2
cpe:/a:cerberusftp:ftp_server:2.0Cerberus FTP Server 2.0
cpe:/a:cerberusftp:ftp_server:2.43Cerberus FTP Server 2.43
cpe:/a:cerberusftp:ftp_server:2.0:beta1Cerberus FTP Server 2.0 BETA1
cpe:/a:cerberusftp:ftp_server:3.0.5Cerberus FTP Server 3.0.5
cpe:/a:cerberusftp:ftp_server:2.31Cerberus FTP Server 2.31
cpe:/a:cerberusftp:ftp_server:2.1Cerberus FTP Server 2.1
cpe:/a:cerberusftp:ftp_server:2.48Cerberus FTP Server 2.48
cpe:/a:cerberusftp:ftp_server:2.47Cerberus FTP Server 2.47
cpe:/a:cerberusftp:ftp_server:1.05Cerberus FTP Server 1.05
cpe:/a:cerberusftp:ftp_server:1.03Cerberus FTP Server 1.03
cpe:/a:cerberusftp:ftp_server:3.1.0.3Cerberus FTP Server 3.1.0.3
cpe:/a:cerberusftp:ftp_server:1.6:betaCerberus FTP Server 1.6 BETA
cpe:/a:cerberusftp:ftp_server:3.0.1Cerberus FTP Server 3.0.1
cpe:/a:cerberusftp:ftp_server:2.02:betaCerberus FTP Server 2.02 BETA
cpe:/a:cerberusftp:ftp_server:4.0.2Cerberus FTP Server 4.0.2
cpe:/a:cerberusftp:ftp_server:2.2Cerberus FTP Server 2.2
cpe:/a:cerberusftp:ftp_server:2.16Cerberus FTP Server 2.16
cpe:/a:cerberusftp:ftp_server:4.0.1.1Cerberus FTP Server 4.0.1.1
cpe:/a:cerberusftp:ftp_server:2.0:beta4Cerberus FTP Server 2.0 BETA4
cpe:/a:cerberusftp:ftp_server:4.0.1Cerberus FTP Server 4.0.1
cpe:/a:cerberusftp:ftp_server:4.0.0.8Cerberus FTP Server 4.0.0.8
cpe:/a:cerberusftp:ftp_server:2.4:beta2Cerberus FTP Server 2.4 BETA2
cpe:/a:cerberusftp:ftp_server:1.1Cerberus FTP Server 1.1
cpe:/a:cerberusftp:ftp_server:4.0.2.2Cerberus FTP Server 4.0.2.2
cpe:/a:cerberusftp:ftp_server:3.0.2Cerberus FTP Server 3.0.2
cpe:/a:cerberusftp:ftp_server:1.01Cerberus FTP Server 1.01
cpe:/a:cerberusftp:ftp_server:2.15Cerberus FTP Server 2.15
cpe:/a:cerberusftp:ftp_server:3.0.4Cerberus FTP Server 3.0.4
cpe:/a:cerberusftp:ftp_server:2.22Cerberus FTP Server 2.22
cpe:/a:cerberusftp:ftp_server:3.1.3.1Cerberus FTP Server 3.1.3.1
cpe:/a:cerberusftp:ftp_server:3.0Cerberus FTP Server 3.0
cpe:/a:cerberusftp:ftp_server:3.1.0.4Cerberus FTP Server 3.1.0.4
cpe:/a:cerberusftp:ftp_server:2.4:beta3Cerberus FTP Server 2.4 BETA3
cpe:/a:cerberusftp:ftp_server:2.2:beta3Cerberus FTP Server 2.2 BETA3
cpe:/a:cerberusftp:ftp_server:3.1Cerberus FTP Server 3.1
cpe:/a:cerberusftp:ftp_server:4.0.0.9Cerberus FTP Server 4.0.0.9
cpe:/a:cerberusftp:ftp_server:2.21Cerberus FTP Server 2.21
cpe:/a:cerberusftp:ftp_server:1.5Cerberus FTP Server 1.5
cpe:/a:cerberusftp:ftp_server:3.0.7.1Cerberus FTP Server 3.0.7.1
cpe:/a:cerberusftp:ftp_server:2.11:betaCerberus FTP Server 2.11 BETA
cpe:/a:cerberusftp:ftp_server:2.32Cerberus FTP Server 2.32
cpe:/a:cerberusftp:ftp_server:2.01Cerberus FTP Server 2.01
cpe:/a:cerberusftp:ftp_server:2.15:betaCerberus FTP Server 2.15 BETA
cpe:/a:cerberusftp:ftp_server:3.1.0.5Cerberus FTP Server 3.1.0.5
cpe:/a:cerberusftp:ftp_server:2.02Cerberus FTP Server 2.02
cpe:/a:cerberusftp:ftp_server:2.44Cerberus FTP Server 2.44
cpe:/a:cerberusftp:ftp_server:1.02Cerberus FTP Server 1.02
cpe:/a:cerberusftp:ftp_server:1.71Cerberus FTP Server 1.71
cpe:/a:cerberusftp:ftp_server:2.0:beta3Cerberus FTP Server 2.0 BETA3
cpe:/a:cerberusftp:ftp_server:2.50Cerberus FTP Server 2.50
cpe:/a:cerberusftp:ftp_server:2.3Cerberus FTP Server 2.3
cpe:/a:cerberusftp:ftp_server:2.4:beta1Cerberus FTP Server 2.4 BETA1
cpe:/a:cerberusftp:ftp_server:2.49Cerberus FTP Server 2.49
cpe:/a:cerberusftp:ftp_server:2.42Cerberus FTP Server 2.42
cpe:/a:cerberusftp:ftp_server:4.0.0.11Cerberus FTP Server 4.0.0.11
cpe:/a:cerberusftp:ftp_server:3.1.3Cerberus FTP Server 3.1.3
cpe:/a:cerberusftp:ftp_server:2.11:beta2Cerberus FTP Server 2.11 BETA2
cpe:/a:cerberusftp:ftp_server:1.7Cerberus FTP Server 1.7
cpe:/a:cerberusftp:ftp_server:2.45Cerberus FTP Server 2.45
cpe:/a:cerberusftp:ftp_server:2.11Cerberus FTP Server 2.11
cpe:/a:cerberusftp:ftp_server:3.0.6Cerberus FTP Server 3.0.6
cpe:/a:cerberusftp:ftp_server:2.46Cerberus FTP Server 2.46
cpe:/a:cerberusftp:ftp_server:3.1.1Cerberus FTP Server 3.1.1
cpe:/a:cerberusftp:ftp_server:1.2Cerberus FTP Server 1.2
cpe:/a:cerberusftp:ftp_server:2.23:betaCerberus FTP Server 2.23 BETA
cpe:/a:cerberusftp:ftp_server:3.0.8Cerberus FTP Server 3.0.8

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-2769
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-2769
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-201007-002
(官方数据源) CNNVD

- 其它链接及资源

http://www.securityfocus.com/bid/41285
(UNKNOWN)  BID  41285
http://www.cerberusftp.com/releasenotes.html
(UNKNOWN)  CONFIRM  http://www.cerberusftp.com/releasenotes.html
http://www.cerberusftp.com/phpBB3/viewtopic.php?f=4&t=644
(VENDOR_ADVISORY)  CONFIRM  http://www.cerberusftp.com/phpBB3/viewtopic.php?f=4&t=644
http://secunia.com/advisories/40370
(VENDOR_ADVISORY)  SECUNIA  40370

- 漏洞信息

Cerberus FTP Server多个权限许可和访问控制
中危 权限许可和访问控制
2010-07-06 00:00:00 2010-07-06 00:00:00
远程  
        Cerberus FTP Server是一款适用在Windows操作系统上的FTP服务程序。
        Cerberus FTP Server 4.0.3.0之前版本存在漏洞,即使将"Display hidden files"选项开启的情况下,远程认证用户也可以通过(1) MLSD 或 (2) MLST 命令列出隐藏文件。

- 公告与补丁

        目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        http://www.cerberusftp.com/

- 漏洞信息

66193
Cerberus FTP Server Multiple Command Hidden File Listing Disclosure
Remote / Network Access Information Disclosure
Loss of Confidentiality Upgrade
Exploit Public Vendor Verified

- 漏洞描述

- 时间线

2010-06-30 Unknow
Unknow 2010-06-30

- 解决方案

Upgrade to version 4.0.3.0 or higher, as it has been reported to fix this vulnerability. An upgrade is required as there are no known workarounds.

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站