漏洞信息详情

FileZilla FTP客户端硬编码密钥漏洞

• CNNVD编号：CNNVD-200509-116
• 危害等级： 中危
  
• CVE编号： CVE-2005-2898
• 漏洞类型： 设计错误
• 发布时间： 2005-09-14
• 威胁类型： 本地
• 更新时间： 2005-11-04
• 厂        商： filezilla
• 漏洞来源： Adrian Pastor m12...

漏洞简介

FileZilla是一款Windows平台的开放源码FTP/SFTP客户端。

FileZilla将配置设置保存在XML文件或Windows注册表中，具体取决于安装时用户的偏好。但任何一种保存方式都是将除口令以外的配置设置以明文保存的，而口令是以很弱的XOR加密保存的，很容易恢复。XOR加密方法总是使用相同的硬编码加密密钥，任何人都可以分析应用程序的源码找到密钥。注意：这个漏洞厂商存在争议。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sourceforge.net/projects/filezilla/

参考网址

来源: XF

名称: filezilla-password-weak-encryption(22135)

链接:http://xforce.iss.net/xforce/xfdb/22135

来源: BID

名称: 14730

链接:http://www.securityfocus.com/bid/14730

来源: BUGTRAQ

名称: 20050904 Re: FileZilla weakly-encrypted password vulnerability: advisory + PoC

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112605448327521&w=2

来源: BUGTRAQ

名称: 20050902 FileZilla weakly-encrypted password vulnerability: advisory + PoC

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112577523810442&w=2

来源: MISC

链接:http://filezilla.sourceforge.net/forum/viewtopic.php?t=1328

受影响实体

• Filezilla Filezilla:2.2.15  
• Filezilla Filezilla:2.2.14b  

补丁

暂无