DansGuardian Hex编码文件扩展名URI内容过滤绕过…

发布日期：2004-07-29
更新日期：2004-08-03

受影响系统：

Daniel Barron DansGuardian 2 2.8
Daniel Barron DansGuardian 2 2.7.3 -1
Daniel Barron DansGuardian 2 2.6.1 -5
Daniel Barron DansGuardian 2 2.4.5 -1
Daniel Barron DansGuardian 2 2.2.9 -1
Daniel Barron DansGuardian 2 2.2.9
Daniel Barron DansGuardian 2 2.2.8
Daniel Barron DansGuardian 2 2.2.7 -1
Daniel Barron DansGuardian 2 2.2.7
Daniel Barron DansGuardian 2 2.2.6
Daniel Barron DansGuardian 2 2.2.5
Daniel Barron DansGuardian 2 2.2.4
Daniel Barron DansGuardian 2 2.2.10

不受影响系统：

Daniel Barron DansGuardian 2 2.8.0.1

描述：

---

BUGTRAQ ID: 10823
CVE(CAN) ID: CVE-2004-2065

DansGuardian是一款基于WEB的开放源代码内容过滤程序。

DansGuardian过滤过滤HEX编码的扩展名处理不正确，远程攻击者可以利用这个漏洞构建恶意文件名绕过过滤代码。

如果攻击者把文件扩展名编码为HEX形式，那么受DansGuardian保护的系统用户在访问此文件时将不受过滤规则保护。

<*来源：Rubén Molina （nando@udea.edu.co）

链接：http://marc.theaimsgroup.com/?t=109113139100003&r=1&w=2
*>

建议：

---

厂商补丁：

Daniel Barron
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Daniel Barron Upgrade dansguardian-2.8.0.1.source.tar.gz
http://dansguardian.org/downloads/2/Stable/dansguardian-2.8.0.1.source.tar.gz

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有