Backup Manager FTP服务器信息泄露漏洞

发布日期：2007-08-31

更新日期：2007-09-03

受影响系统：

Backup Manager Backup Manager < 0.6.3

不受影响系统：

Backup Manager Backup Manager 0.6.3

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25503

Backup Manager是GNU/Linux平台上的命令行备份工具。

Backup Manager在处理备份文件的上传时存在漏洞，本地攻击者可能利用此漏洞获取备份FTP服务器的用户名和口令。

Backup Manager在向FTP服务器上传备份期间可能会泄露FTP口令，能够Shell访问计算机的用户只需运行以下命令：

ps wax | grep backup-manager

就可以得到FTP用户名、主机名和口令，输出类似于：

3796 pts/1    SN+    0:00 /bin/bash /usr/sbin/backup-manager -v
12647 pts/1    RN+    0:47 /usr/bin/perl /usr/bin/backup-manager-upload -v --ftp-purge -
m=ftp -h=FTPHOST -u=FTPUSER -p=FTPPASS ...

之后攻击者就可以利用这些信息登录到backup-manager所上传文档的FTP服务器，完全访问服务器上的所有文件。

<*来源：Micha Lenk （micha@lenk.info）

链接：http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=439392

http://secunia.com/advisories/26657/

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

Backup Manager

--------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www2.backup-manager.org/Release063(责任编辑：李磊)

最新相关文章

• ·焦点间谍修改注册表 篡改IE浏览器默认设置
• ·系统伤口下载器制造后门并下病毒
• ·“ARP蜗牛”攻击堵塞局域网
• ·360安全卫士疑被挂马 多款杀毒软件报警
• ·赤水牛开后门并破坏可执行程序
• ·“风花雪月”制造后门并传播情书
• ·360声明千千静听存在安全漏洞
• ·视窗杀手感染exe文件并无法启动
• ·安全保护有新规 窃QQ号最高罚一万五
• ·打PowerPoint漏洞补丁 防ppt蛀虫病毒
• ·4月1日病毒播报:小心“虫尾巴”蠕虫病毒
• ·黑客大会Vista被攻破的漏洞源自Flash插件
• ·“AUTO木马”群体作案危害更甚
• ·卡巴遭最惨破解 黑客一次送40多激活码
• ·循环瘫痪下载器关闭杀软和防火墙
• ·假保安诈骗木马下载伪杀软来诈骗