一、漏洞分析
1.1
组件介绍
Serv-U FTP Server
是一款文件传输协议(
FTP
)服务器软件,
它允许用户通过网络安全地传输文件。这款软件由
RhinoSoft
(现在
是
SolarWinds
的一个部门)开发,它支持多种文件传输协议,包括
F
TP
、
FTPS
(
FTP over SSL
)、
SFTP
(
SSH File Transfer Protocol
)、
HTTP
和
HTTPS
。
1.2
漏洞描述
2024
年
6
月
14
日,深瞳漏洞实验室监测到一则
SolarWinds-Ser
v-U FTP Server
组件存在任意文件读取漏洞的信息,漏洞编号:
CV
E-2024-28995
,漏洞威胁等级:高危。
SolarWinds Serv-U FTP
存在目录遍历文件读取漏洞,未授权的
攻击者可构造恶意请求读取任意文件,造成敏感信息泄漏。
二、影响范围
目前受影响的
SolarWinds-Serv-U FTP Server
版本:
SolarWinds Serv-U FTP Server < 15.4.2 HF 2
三、解决方案
3.1
修复建议
1.
如何检测组件系统版本
右击
Serv-U FTP
图标,选择
About Serv-U
即可查看软件版本。
2.
官方修复建议
官方已发布新版本修复该漏洞,受影响的用户可下载最新版本。
下载链接:
https://www.solarwinds.com/zh/ftp-server-software
