SolarWinds TFTP服务程序目录遍历漏洞

漏洞信息详情

SolarWinds TFTP服务程序目录遍历漏洞

• CNNVD编号：CNNVD-200211-009
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1209
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-10-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  solarwinds
• 漏洞来源：
  David Endler※ dend…

SolarWinds TFTP服务程序可以同时发送和接收多个文件，经常用于下载/上传路由器，交换机等可执行映象和配置文件。
SolarWinds TFTP服务程序对用户提交的请求缺少过滤，远程攻击者可以利用这个漏洞以TFTP进程权限查看系统上任意文件内容。
SolarWinds TFTP服务程序对\’\’..＼字符缺少正确处理，攻击者可以提交多个包含\’\’..＼\’\’字符的的GET请求，可以遍历系统目录，以TFTP进程权限查看系统任意文件内容。

厂商补丁：
SolarWinds
———-
SolarWinds TFTP Server v5.0.60和之后的版本不存在此漏洞，请到厂商的主页下载：

http://www.solarwinds.net/Tools/Free_tools/TFTP_Server/” target=”_blank”>
http://www.solarwinds.net/Tools/Free_tools/TFTP_Server/

来源: www.idefense.com
链接:http://www.idefense.com/advisory/10.24.02.txt

来源: XF
名称: tftp-dot-directory-traversal(10469)
链接:http://xforce.iss.net/xforce/xfdb/10469

来源: BID
名称: 6045
链接:http://www.securityfocus.com/bid/6045

来源: VULNWATCH
名称: 20021024 iDEFENSE Security Advisory 10.24.02: Directory Traversal in SolarWinds TFTP Server
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0044.html