Shambala Server - FTP,
Web и Chat сервер для Win 9*/NT.
Несколько уязвимостей обнаружено в FTP сервере. В результате удаленный авторизованный пользователь может просматривать и загружать произвольные файлы, а также аварийно завершить работу сервера.
1. FTP сервер не фильтрует "\.." и "/.." последовательности символов в некоторых запросах. В результате возможет неавторизованный доступ вне FTP ROOT каталога:
get \..\..\..\..\..\..\..\..\..\..\WINNT\REPAIR\sam._
2. Удаленный авторизованный пользователь может также загрузить произвольный файл вне основного FTP каталога. Пример:
send pwd.pl \..\..\..\..\..\..\..\..\..\..\WINNT\REPAIR\test.pl
3. Следующая команда приведет к аварийному завершению работы уязвимого сервера:
CWD /
Уязвимость обнаружена в Shambala Server 4.5
