[转载]BitZipper文档解压目录遍历漏洞

冰翼

晶莹剔透§烈日灼然

Rank: 1

帖子: 27
精华: 0
积分: 91
阅读权限: 40
性别: 男
在线时间: 113 小时
注册时间: 2005-11-12
最后登录: 2008-11-13

发短消息
加为好友
当前离线

楼主大中小发表于 2006-5-24 00:38 只看该作者

[转载]BitZipper文档解压目录遍历漏洞

信息来源：绿盟科技

受影响系统：
Bitberry Software BitZipper 4.1.2
Bitberry Software BitZipper 4.1 Service Release 1
Bitberry Software BitZipper 4.1
Bitberry Software BitZipper 4.0
Bitberry Software BitZipper 3.4.1
Bitberry Software BitZipper 3.4
Bitberry Software BitZipper 3.3
Bitberry Software BitZipper 3.2.1
Bitberry Software BitZipper 3.2
描述：
BUGTRAQ  ID: 18065

BitZipper是Windows平台的高级数据压缩工具。

BitZipper在解压RAR（.rar）、TAR（.tar）、ZIP（.zip）、TAR.GZ（tar.gz）、GZ（.gz）或JAR（.jar）格式压缩文件时存在输入验证错误，允许攻击者使用“../”目录遍历序列将文件解压到指定目录之外的任意位置。

<*来源：Hamid Ebadi （admin@hamid.ir）

  链接：http://marc.theaimsgroup.com/?l= ... 32171013965&w=2
*>
测试：
http://www.hamid.ir/tools/
建议：
厂商补丁：

Bitberry Software
-----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.bitzipper.com/

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 重要安全公告{ Security Advisory Bulletin } » [转载]BitZipper文档解压目录遍历漏洞