AOL AIM及ICQ客户端目录遍历漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191050 漏洞类型 路径遍历
发布时间 2007-04-10 更新时间 2007-04-11
CVE编号 CVE-2007-1904 CNNVD-ID CNNVD-200704-165
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200704-165
|漏洞详情
AOLInstantMessenger和ICQ都是非常流行的即时消息客户端。AOLAIM和ICQ即时通信软件在处理文件传输时存在漏洞,远程攻击者可能利用此漏洞在文件接收方的机器上指定目录中创建文件。AIM和ICQ允许用户通过自定义协议共享和传输文件。在文件传输期间,发送者可以指定文件的显示名称及传输所使用的文件名;接收者仅可以指定保存文件的文件夹。由于一个输入验证错误,客户端没有正确地剥离文件名中的"../"遍历字符,因此攻击者可以通过特殊编码的路径在用户接受文件传输时强制将文件保存到指定的目录。
|参考资料

来源:BID
名称:23391
链接:http://www.securityfocus.com/bid/23391
来源:IDEFENSE
名称:20070409AOLAIMandICQFileTransferPath-TraversalVulnerability
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=508
来源:XF
名称:aim-icq-filetransfer-directory-traversal(33538)
链接:http://xforce.iss.net/xforce/xfdb/33538
来源:SECTRACK
名称:1017891
链接:http://www.securitytracker.com/id?1017891
来源:SECTRACK
名称:1017890
链接:http://www.securitytracker.com/id?1017890
来源:VUPEN
名称:ADV-2007-1307
链接:http://www.frsirt.com/english/advisories/2007/1307
来源:VUPEN
名称:ADV-2007-1306
链接:http://www.frsirt.com/english/advisories/2007/1306
来源:SECUNIA
名称:24803
链接:http://secunia.com/advisories/24803
来源:SECUNIA
名称:24747
链接:http://secunia.com/advisories/24747