最新消息
[公告]Redwood Software 呼籲客戶下載 Cerberus FTP Server 最新的維護版本 13.2.1 版
2023/12/14[公告]Redwood Software 呼籲客戶下載 Cerberus FTP Server 最新版本 13.2.1
親愛的 Cerberus 用戶,
為了因應過去一年中影響其他檔案傳輸提供者的安全事件,Redwood Software(以下簡稱:原廠)顯著地提高了所有檔案傳輸產品(包括 Cerberus FTP Server)的安全狀況。最近,一位獨立網絡安全研究人員向原廠表示了 Cerberus FTP Server 的網頁程式中的檔案路徑存在著外洩漏洞(CVE-2023-50452*)。儘管該漏洞似乎無法被公開利用,但原廠認為有必要與所有 Cerberus 客戶發布此信息,並鼓勵客戶在原廠網頁下載最新版本 13.2.1。
發現了什麼
此資安漏洞是 Cerberus FTP Server 版本 12.0 至 13.2 的網頁程式中的完整路徑外洩。經過身份驗證的使用者可以使用「解壓縮」(unzip)功能在錯誤情況下顯示伺服器檔案系統的完整路徑。儘管,由於複製其路徑需經過用戶身份驗證,原廠不認為該漏洞可被公開利用,但此錯誤揭示的資訊超出了必要的範圍。Cerberus FTP Server 最新版本 13.2.1 已調整此錯誤,僅提供伺服器檔案位置的相對路徑,透過消除任何潛在風險進一步加強整體安全性。
有客戶受到影響嗎
據原廠所知,由於沒有已知的漏洞,因此對客戶沒有影響。但是,原廠謹遵對客戶安全的承諾,強烈建議客戶下載最新版本 13.2.1 。
何處下載最新版本 13.2.1
您可以按照原廠說明下載最新版本 13.2.1。 這將修改「解壓縮」(unzip)函數錯誤訊息,僅提供伺服器檔案位置的相對路徑。
最新版本 13.2.1 - 發布於 2023/12/13
.改進:增強了公共共享管理的 UI
.改進:在公共共享的管理頁面中添加一次性密碼自動解鎖功能
.改進:添加了取得/發送文件日誌的文件大小
.改進:更正了升級到 Bootstrap 5.3.1 版本後 Web 用戶端 2FA UI 頁面的外觀和佈局
.改進:在 Web 用戶端登入頁面中,登入表單和歡迎訊息面板適當加寬
.改進:更改管理員密碼現在需要目前的主管理員驗證
.改進:首次設定精靈現在在尚未設定時需要管理員密碼
.改進:改進的安全警告:摘要頁面現在對非 SSL LDAP 身份驗證發出警告
.修正:經過驗證的使用者遠端完整路徑外洩(CVE-2023-50452)
.修正:公共共享下載按鈕
.修正:在客戶端和公共共享的資料夾視圖中導航目錄時重置選取所有框
.修正:修復 SSH 用戶端發送大小不正確的封包進行金鑰交換時崩潰的問題
.修正:產生 SSH 相容的 DSA 主機金鑰
.修正:在 FIPS 模式下停用 SSH DSA 主機金鑰
.修正:從 JS 和 CSS 檔案中刪除了來源映射引用
.修正:SAML SSO 現在使用回覆 URL 進行 SSO 配置選擇,修正了多個 SSO 配置使用相同身分驗證失敗問題
.修復:SOAP 無法完成服務重啟
產品網頁:https://www.ahasoft.com.tw/page/product/show.aspx?num=1329&kind=1241&page=1&lang=TW
