DansGuardian Hex编码文件扩展名URI内容过滤绕过漏洞

漏洞信息详情

DansGuardian Hex编码文件扩展名URI内容过滤绕过漏洞

• CNNVD编号：CNNVD-200412-792
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-2065
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-07-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  daniel_barron
• 漏洞来源：
  Rubén Molina※ nand…

DansGuardian是一款基于WEB的开放源代码内容过滤程序。
DansGuardian过滤过滤HEX编码的扩展名处理不正确，远程攻击者可以利用这个漏洞构建恶意文件名绕过过滤代码。
如果攻击者把文件扩展名编码为HEX形式，那么受DansGuardian保护的系统用户在访问此文件时将不受过滤规则保护。

厂商补丁：
Daniel Barron
————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Daniel Barron Upgrade dansguardian-2.8.0.1.source.tar.gz

http://dansguardian.org/downloads/2/Stable/dansguardian-2.8.0.1.source.tar.gz” target=”_blank”>
http://dansguardian.org/downloads/2/Stable/dansguardian-2.8.0.1.source.tar.gz

来源: BID
名称: 10823
链接:http://www.securityfocus.com/bid/10823

来源: SECUNIA
名称: 12191
链接:http://secunia.com/advisories/12191

来源: XF
名称: dansguardian-filename-bypass-filtering(16836)
链接:http://xforce.iss.net/xforce/xfdb/16836

来源: BUGTRAQ
名称: 20040729 DansGuardian Hex Encoding URL Banned Extension Filter Bypass
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109113126217408&w=2

来源: dansguardian.org
链接:http://dansguardian.org/?page=history

来源: OSVDB
名称: 8270
链接:http://www.osvdb.org/8270

来源: SECTRACK
名称: 1010817
链接:http://securitytracker.com/id?1010817

来源：NSFOCUS
名称：6755
链接：http://www.nsfocus.net/vulndb/6755