Обход ограничений безопасности во многих межсетевых экранах для AS/400

Дата публикации:
28.04.2005
Всего просмотров:
1024
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: AS/400 Raz-Lee Firewall+++, PowerLock NetworkSecurity, Castlehill Secure/Net, NASI BSafe, SafeStone AxcessIT, NetIQ PSSecure

Описание:
Уязвимость позволяет удаленному авторизованному пользователю обойти правила доступа к FTP и получить доступ к запрещенным AS/400 объектам.

Уязвимость существует из-за некорректной обработки запросов при принятии решения на основе существующего правила. Удаленный авторизованный пользователь может с помощью специально сформированного запроса обойти ограничения межсетевого экрана и потенциально получить доступ к запрещенным файлам. Примеры:

Get /home/bp/outgoing/../../../qsys.lib/
aplibf.lib/apcaccp.file/apcaccp.mbr

Get /home/bp/outgoing/./././../../bp/../../
qsys.lib/aplibf.lib/apcaccp.file/apcaccp.mbr

Решение: Установите обновление от производителя.

Ссылки: Canonicalization problems in iSeries FTP security

или введите имя

CAPTCHA