漏洞信息详情
MailMarshal UNARJ解压目录遍历漏洞
- CNNVD编号:CNNVD-200611-193
- 危害等级: 高危
- CVE编号: CVE-2006-5487
- 漏洞类型: 路径遍历
- 发布时间: 2006-11-10
- 威胁类型: 远程
- 更新时间: 2007-09-17
- 厂 商: marshal
- 漏洞来源: ZDIhttp://www.zero...
漏洞简介
MailMarshal SMTP是适用于业务网络的邮件安全解决方案。
MailMarshal用于解压.ARJ文档文件的解压例程中存在目录遍历漏洞,远程攻击者可能利用此漏洞在系统的任意位置创建文件。
由于没有对包含有目录遍历字符串(如\"../\")的解压文件名执行正确的沙盒限制,攻击者可以通过诱骗用户打开恶意的ARJ文档在任意位置创建文件。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.marshal.com/
参考网址
来源: MISC
链接:http://www.zerodayinitiative.com/advisories/ZDI-06-039.HTML
来源: www.marshal.com
链接:http://www.marshal.com/kb/article.aspx?id=11450
来源: XF
名称: mailmarshal-arj-code-execution(30188)
链接:http://xforce.iss.net/xforce/xfdb/30188
来源: BID
名称: 20999
链接:http://www.securityfocus.com/bid/20999
来源: BUGTRAQ
名称: 20061110 ZDI-06-039: Marshal MailMarshal ARJ Extraction Directory Traversal Vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/451143/100/0/threaded
来源: VUPEN
名称: ADV-2006-4457
链接:http://www.frsirt.com/english/advisories/2006/4457
来源: SECTRACK
名称: 1017209
链接:http://securitytracker.com/id?1017209
来源: SECUNIA
名称: 22806
链接:http://secunia.com/advisories/22806
来源: SREASON
名称: 1857
链接:http://securityreason.com/securityalert/1857
受影响实体
- Marshal Mailmarshal_smtp:6.0
- Marshal Mailmarshal_smtp:5.0
- Marshal Mailmarshal_smtp:2006
补丁
暂无
评论