Программа: AS/400 Raz-Lee Firewall+++, PowerLock NetworkSecurity,
Castlehill Secure/Net, NASI BSafe, SafeStone AxcessIT, NetIQ PSSecure

Уязвимость позволяет удаленному
авторизованному пользователю обойти
правила доступа к FTP и получить доступ к
запрещенным AS/400 объектам. Уязвимость
существует из-за некорректной обработки
запросов при принятии решения на основе
существующего правила. Удаленный
авторизованный пользователь может с
помощью специально сформированного
запроса обойти ограничения межсетевого
экрана и потенциально получить доступ к
запрещенным файлам.

Примеры:

Get /home/bp/outgoing/../../../qsys.lib/aplibf.lib/apcaccp.file/ apcaccp.mbr

Get /home/bp/outgoing/./././../../bp/../../qsys.lib/aplibf.lib/ apcaccp.file/apcaccp.mbr

Оставить мнение