Serv-U FTP-Server v2.5b for Win9x/NT本地/远程D.o.S攻击漏洞
/ns/ld/win/data/20010128110445.htm
漏洞发布时间:2000-2-5
漏 洞 描 述:
在Windows API 函数"SHGetPathFromIDList"中被发现存在一个缓冲区溢出漏洞。这个函数将一个项目标识符转换为一个文件的系统路径,用于处理Windows下的链接文件。
只需要一个畸形的链接文件,就可能使任何企图转换这个.lnk链接文件的程序/服务器崩溃。例如,复制一个畸形的链接文件到电脑桌面,将导致不能在该机器上登录。
要使Serv-u FTP服务器崩溃,只需上载一个畸形的链接文件到任何Serv-u的目录,然后输入FTP命令LIST,该FTP服务器将崩溃。注,基于Windows 2000的该程序没有这个问题。
漏洞检测方式参考如下:
畸形链接文件实例:http://www.ussrback.com/god.lnk
解 决 方 法:
暂时没有根本解决方法。