Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1038

[Generic/FTP-Clients] Unerlaubter Verzeichniswechsel möglich
(2002-12-12 16:11:41.709936+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/12/msg00097.html

Durch einen Fehler bei der Verarbeitung von Zieldateinamen kann beim Download einer Datei von einen FTP-Server die Datei ausserhalb des gewählten lokalen Verzeichnisses abgelegt werden.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Download einer Datei von einem FTP-Server.
Bei wget auch: Download von einem HTTP-Server, der auf einem FTP-Server umleitet.

Auswirkung
Anlegen/überschreiben beliebiger Dateien mit den Rechten des Anwenders (z.B. Login-Skripte) und dadurch mittelbar Ausführen beliebigen Programmcodes

Typ der Verwundbarkeit
Unerlaubter Verzeichniswechsel (directory traversal vulnerability)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch einen Fehler bei der Verarbeitung von Zieldateinamen kann beim Download einer Datei über einen FTP-Server die Datei ausserhalb des gewählten lokalen Verzeichnisses abgelegt werden. Der Client überprüft dabei nicht oder nur unzureichend, ob der Quelldateiname relative oder absolute Pfadangaben enthält. Falls eine Datei z.B. den Namen ../test.txt trägt, werden die ersten drei Zeichen des Dateinamen nicht unterdrückt, was dazu führt, dass die Datei ein Verzeichnis höher mit dem Namen test.txt abgelegt wird. Dadurch können beliebige Dateien, auf die der Anwender schreibend Zugriff hat, überschrieben werden.

Gegenmaßnahmen

Vulnerability ID

(bl)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1038