Sicherheitslücke in LAN-Suite von Software602

Ein Fehler in der LAN-Suite des Herstellers Software602 ermöglicht es Anwendern, eigene Programme auf dem Server auszuführen. 602LAN SUITE ist eine Firewall mit integriertem Mail-Server mit Antiviren- und Antispam-Funktionen. Ursache der Sicherheitslücke ist die unvollständige Filterung von Pfadnamen beim Hochladen von Dateien, um sie über das eingebaute Webmail-Frontend zu verschicken. Durch Directory Traversing soll sich eine Datei so in das cgi-bin-Verzeichnis des Web-Servers schreiben und anschließend durch den Aufruf mit http://server/cgi-bin/datei.exe ausführen lassen. Betroffen ist Version 2004.0.04.1221. Der Hersteller hat den Fehler in der aktuellen Version beseitigt.

Siehe dazu auch: (dab)

• 602LAN SUITE Web Mail Vulnerability Allows File Upload to Arbitrary Directories von SIG^2 Vulnerability Research