Christian Kindahl TUGZip 多个目录遍历漏洞

CNNVD-ID编号	CNNVD-200604-152
CVE编号	CVE-2006-1715
发布时间	2006-04-11
更新时间	2007-06-26
漏洞类型	路径遍历
漏洞来源	Hamid Ebadi and Claus Berghammer are credited with the discovery of this vulnerability.
危险等级	中危
威胁类型	远程
厂商	tugzip

漏洞介绍

Christian Kindahl TUGZip 3.4.0.0、3.3.0.0及3.1.0.2中存在目录遍历漏洞。这使得用户辅助攻击者可以借助于具有精心设计的(1).gz、(2).jar、(3).rar或(4).zip文件(档案包中的‘..’)在任意目录中创建文件。(dot dot) in an archive pack with a crafted (1) .gz， (2) .jar， (3) .rar， or (4) .zip file.

漏洞补丁

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.tugzip.com/

参考网址

来源: XF

名称: tugzip-archive-directory-traversal(25713)

链接：http://xforce.iss.net/xforce/xfdb/25713
来源: BID

名称: 17432

链接：http://www.securityfocus.com/bid/17432
来源: BUGTRAQ

名称: 20060410 TUGZip Archive Extraction Directory traversal

链接：http://www.securityfocus.com/archive/1/archive/1/430433/100/0/threaded
来源: MISC

链接：http://www.hamid.ir/security/tugzip.txt

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200604-152