VULHUB ™

Washington University FTP Server是一个非常流行的Unix系统下的FTP服务器。很多Unix和Linux的发行版本都把它作为默认安装的FTP服务器。 由于配置文件pathnames.h的错误配置，一些Wu-ftpd 2.4.1和更早的二进制发行版本允许攻击者有个FTP账号即可获得root访问权限。 由于pathnames.h错误的设置了_PATH_EXECPATH为/bin，这个路径对应匿名用户是相对于~ftp，但是对于其它FTP账号是对应于/，就是实际的/bin。如果Wu-ftpd的SITE EXEC功能打开的话，用户就可能以root用户的权限运行系统命令，比如执行/bin/sh。

Washington University FTP Server是一个非常流行的Unix系统下的FTP服务器。很多Unix和Linux的发行版本都把它作为默认安装的FTP服务器。 由于配置文件pathnames.h的错误配置，一些Wu-ftpd 2.4.1和更早的二进制发行版本允许攻击者有个FTP账号即可获得root访问权限。 由于pathnames.h错误的设置了_PATH_EXECPATH为/bin，这个路径对应匿名用户是相对于~ftp，但是对于其它FTP账号是对应于/，就是实际的/bin。如果Wu-ftpd的SITE EXEC功能打开的话，用户就可能以root用户的权限运行系统命令，比如执行/bin/sh。