回首页
  首 页 关于邦为 系统集成 网络安全 系统开发 ASP 服务 咨询与培训 人力资源
网络安全
 安全评估
 安全顾问
 安全修复与加固
 应急响应
 安全信息服务
 病毒防护
漏洞公告
 系统漏洞公告
 病毒漏洞公告









 
 


Serv-U本地权限提升漏洞

 

受影响系统:
 RhinoSoft Serv-U 5.1.0.0
 RhinoSoft Serv-U 5.0.0.9
 RhinoSoft Serv-U 5.0.0.4
 RhinoSoft Serv-U 5.0
 RhinoSoft Serv-U 4.1.0.3
 RhinoSoft Serv-U 4.1.0.11
 RhinoSoft Serv-U 4.0.0.4
 RhinoSoft Serv-U 4.0.0.0
 RhinoSoft Serv-U 3.0.0.20

描述: Serv-U是一个Windows平台下使用非常广泛的FTP服务器软件。

 Serv-U存在设计问题,本地攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意命令。

 所有Serv-U存在默认本地管理员登录密码,这帐户只能在本地接口中连接,因此本地攻击者可以连接Serv-U并建立拥有执行权限的FTP用户,在这个用户建立后,连接FTP服务器并执行"SITE EXEC"命令,程序就会以SYSTEM权限执行。

 
 
Copyright © 2004 bonway.net, All Rights Reserved.