[[19674]] 

圖-FireFTP

FireFTP Firefox擴展雙引號安全繞過漏洞，方法很簡單。

　　Bugraq ID: 36536

　　CNCAN ID：CNCAN-2009093003

　　漏洞起因

　　輸入驗證錯誤

　　影響系統(tǒng)

　　FireFTP 1.0.5

　　不受影響系統(tǒng)

　　FireFTP 1.0.6

　　危害

　　遠(yuǎn)程攻擊者可以利用漏洞繞過安全限制執(zhí)行未授權(quán)操作。

　　攻擊所需條件

　　攻擊者必須構(gòu)建惡意文件，誘使用戶處理。

　　漏洞信息

　　FireFTP Firefox是一款基于Mozilla Firefox的FTP客戶端擴展。

　　FireFTP在處理文件名時，沒有正確轉(zhuǎn)義就傳遞給psftp.exe處理，攻擊者可誘使用戶下載文件到Firefox安裝目錄或通過在SFTP服務(wù)器上的特殊命名的文件執(zhí)行用戶不期的SFTP操作。

　　成功利用漏洞需要攻擊者誘使用戶在SFTP服務(wù)器上執(zhí)行移動，刪除，mode更改操作或從SFTP服務(wù)器上下載特殊名字的文件。

　　測試方法

　　廠商解決方案

　　用戶可升級到FireFTP 1.0.6版本：

　　FireFTP FireFTP 1.0.5

　　FireFTP fireftp-1.0.6-fx.xpi

　　http://releases.mozilla.org/pub/mozilla.org/addons/684/fireftp-1.0.6-f x.xpi

　　漏洞提供者

　　Tan Chew Keong

　　漏洞消息鏈接

　　http://vuln.sg/fireftp105-en.html

　　漏洞消息標(biāo)題

　　FireFTP for FireFox SFTP Command Manipulation Security Issue

通過正文的說明，想必大家都知道了FireFTP漏洞修補方法！希望對大家有用！

【編輯推薦】

• 單獨啟動firefox的fireFTP擴展
• 怎么用firefox提供的fireftp上傳網(wǎng)頁
• FireFTP---firfox擴展
• FireFTP使用文本
• ubuntu 9.04下 配置 fireFTP
• FireFTP使用方法
• 幫你解決FireFTP中文亂碼問題