Gadu-Gadu文件对话框下载伪造文件扩展漏洞

漏洞信息详情

Gadu-Gadu文件对话框下载伪造文件扩展漏洞

• CNNVD编号：CNNVD-200412-367
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2004-2530
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-08-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-24
  
• 厂        商：
  
  gadu-gadu
• 漏洞来源：
  Bartosz Kwitkowski…

Gadu-Gadu是一款聊天客户端。
Gadu-Gadu不正确处理文件扩展名，远程攻击者可以利用这个漏洞伪造扩展名，发送恶意文件给Gadu-Gadu客户端接收。
Bartosz Kwitkowski报告远程验证用户可以建立包含特殊文件名的链接，当Gadu-Gadu接收处理时会以伪造的文件扩展名显示文件并下载，这可通过在文件实际扩展名后追加大量空格字符完成。

厂商补丁：
Gadu-Gadu
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.gadu-gadu.pl/” target=”_blank”>
http://www.gadu-gadu.pl/

来源: XF
名称: gadu-gadu-file-ext-spoof(17105)
链接:http://xforce.iss.net/xforce/xfdb/17105

来源: BID
名称: 11017
链接:http://www.securityfocus.com/bid/11017

来源: OSVDB
名称: 9162
链接:http://www.osvdb.org/9162

来源: SECTRACK
名称: 1011037
链接:http://securitytracker.com/id?1011037

来源: VULN-DEV
名称: 20040821 GADU-GADU Instant messanger – long file name
链接:http://seclists.org/lists/vuln-dev/2004/Aug/0007.html

来源：NSFOCUS
名称：6842
链接：http://www.nsfocus.net/vulndb/6842