Date de Publication: 2003-06-02
 Titre: Multiple Vendor FTP Servers Denial of Services
 K-Otik ID : 0135
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Quick and Easy FTP Server souffre d'une faille de type DoS, qui peut être causé en établissant plusieurs connexions ftp avec la même ip client. Baby FTP Server souffre de deux failles : La première est de type Directory Traversal, qui donne accès à tout les répertoires en utilisant la commande "CWD" compilée aux arguments "..." ou "/...". Titan FTP Server et VisNetic FTP Server quant à eux souffrent de la même faille que Baby FTP, sauf que cette fois le problème résulte de la commande "quote stat ../../*" qui retourne la liste des répertoires au delà du répertoire root.


  * Versions Vulnérables *

Quick and Easy FTP Server 1.x
Baby FTP Server 1.x
Titan FTP Server 2.02 build 99
VisNetic FTPServer 2.x


  * Solution *

Easy FTP : Utilisez version 1.71 (Lien).
Baby FTP : Utilisez version 1.21 (Lien).
Titan FTP : aucune solution officielle.
VisNetic   : aucune solution officielle.


  * Crédits *
 
Faille découverte par dr_insane et D4rkGr3y (Juin 2003).