Sharp Zaurus远程FTP服务root用户可访问漏洞

漏洞信息详情

Sharp Zaurus远程FTP服务root用户可访问漏洞

• CNNVD编号：CNNVD-200212-813
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2002-1974
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-07-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  sharp
• 漏洞来源：
  SURUAZ※ suruaz@nem…

Sharp Zaurus是由Sharp Electronics公司开发的PDA掌上设备产品。
Sharp Zaurus使用的FTP服务程序没有任何验证机制，远程攻击者可以利用这个漏洞进行远程root用户访问。
Sharp(R) Zaurus(tm) SL-5000D和SL-5500掌上设备使用FTP执行与PC的同步操作，FTP守护程序内置于Zaurus的QPE中，监听TCP 4242端口，FTP守护程序绑定在Zaurus所有网络接口中，包括所有无线网络接口或者PPP接口。其中FTP服务没有任何验证机制，任意远程用户可以以root用户权限访问Zaurus文件系统，如果设置为Zaurus设置root密码也没有任何效果，原因是FTP守护程序不使用任何验证机制。
默认情况下，Zaurus没有设置root用户口令。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Sharp
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sharp-usa.com/” target=”_blank”>
http://www.sharp-usa.com/

来源: BID
名称: 5200
链接:http://www.securityfocus.com/bid/5200

来源: XF
名称: zaurus-insecure-ftp-permissions(9534)
链接:http://www.iss.net/security_center/static/9534.php

来源：NSFOCUS
名称：3113
链接：http://www.nsfocus.net/vulndb/3113