漏洞信息详情
FileZilla FTP客户端硬编码密钥漏洞
- CNNVD编号:CNNVD-200509-116
- 危害等级: 中危
- CVE编号: CVE-2005-2898
- 漏洞类型: 设计错误
- 发布时间: 2005-09-14
- 威胁类型: 本地
- 更新时间: 2005-11-04
- 厂 商: filezilla
- 漏洞来源: Adrian Pastor m12...
漏洞简介
FileZilla是一款Windows平台的开放源码FTP/SFTP客户端。
FileZilla将配置设置保存在XML文件或Windows注册表中,具体取决于安装时用户的偏好。但任何一种保存方式都是将除口令以外的配置设置以明文保存的,而口令是以很弱的XOR加密保存的,很容易恢复。XOR加密方法总是使用相同的硬编码加密密钥,任何人都可以分析应用程序的源码找到密钥。注意:这个漏洞厂商存在争议。
漏洞公告
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sourceforge.net/projects/filezilla/
参考网址
来源: XF
名称: filezilla-password-weak-encryption(22135)
链接:http://xforce.iss.net/xforce/xfdb/22135
来源: BID
名称: 14730
链接:http://www.securityfocus.com/bid/14730
来源: BUGTRAQ
名称: 20050904 Re: FileZilla weakly-encrypted password vulnerability: advisory + PoC
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112605448327521&w=2
来源: BUGTRAQ
名称: 20050902 FileZilla weakly-encrypted password vulnerability: advisory + PoC
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112577523810442&w=2
来源: MISC
链接:http://filezilla.sourceforge.net/forum/viewtopic.php?t=1328
受影响实体
- Filezilla Filezilla:2.2.15
- Filezilla Filezilla:2.2.14b
补丁
暂无
评论