VULHUB ™

一些FTP服务器提供一种\"转换\"功能，在把文件发送给用户之前，先把文件pipe给一个程序进行处理。 某些FTP服务器配置上存在漏洞，远程攻击者可以利用\"转换\"功能在服务器上执行任意命令。 FTP客户端请求获取一个文件名，其后跟随.tar/.tar.gz/.Z/.gz的时候，某些FTP Server会自动执行/bin/tar之类的程序去打包、压缩并下载给FTP客户端，这是通过管道实现的。而tar这样的命令有能力执行任意命令，入侵者通过请求一个特殊的文件名而使FTP Server启动远程shell。现在已知在某些平台(如Linux)下的wu-ftpd 2.6.0及以下版本FTP服务器和proftpd FTP服务器受此漏洞影响，利用这个漏洞需要攻击者有上传文件的权限。

一些FTP服务器提供一种\"转换\"功能，在把文件发送给用户之前，先把文件pipe给一个程序进行处理。 某些FTP服务器配置上存在漏洞，远程攻击者可以利用\"转换\"功能在服务器上执行任意命令。 FTP客户端请求获取一个文件名，其后跟随.tar/.tar.gz/.Z/.gz的时候，某些FTP Server会自动执行/bin/tar之类的程序去打包、压缩并下载给FTP客户端，这是通过管道实现的。而tar这样的命令有能力执行任意命令，入侵者通过请求一个特殊的文件名而使FTP Server启动远程shell。现在已知在某些平台(如Linux)下的wu-ftpd 2.6.0及以下版本FTP服务器和proftpd FTP服务器受此漏洞影响，利用这个漏洞需要攻击者有上传文件的权限。