Serv-U FTP-Server v2.5b for Win9x/NT本地/远程D.o.S攻击漏洞

/ns/ld/win/data/20010128110445.htm

漏洞发布时间：2000-2-5
漏 洞 描 述:
在Windows API 函数"SHGetPathFromIDList"中被发现存在一个缓冲区溢出漏洞。这个函数将一个项目标识符转换为一个文件的系统路径，用于处理Windows下的链接文件。
只需要一个畸形的链接文件，就可能使任何企图转换这个.lnk链接文件的程序/服务器崩溃。例如，复制一个畸形的链接文件到电脑桌面，将导致不能在该机器上登录。
要使Serv-u FTP服务器崩溃，只需上载一个畸形的链接文件到任何Serv-u的目录，然后输入FTP命令LIST，该FTP服务器将崩溃。注，基于Windows 2000的该程序没有这个问题。

漏洞检测方式参考如下：

畸形链接文件实例：http://www.ussrback.com/god.lnk

解 决 方 法:

暂时没有根本解决方法。