BitDefender产品升级服务器HTTP遍历漏洞

发布日期：2008-01-19

更新日期：2008-01-21

受影响系统：

Softwin BitDefender Security for Fileservers

Softwin BitDefender Enterprise Manager

描述：

BUGTRAQ ID: 27358

BitDefender是罗马尼亚的一家安全厂商，产品包含多种杀毒软件。

BitDefender的Update Server实现上存在目录遍历漏洞，远程攻击者可能利用此漏洞访问系统上的任意文件。

BitDefender的企业产品中所捆绑的Update Server是一个HTTP守护程序，http.exe进程是以本地系统权限运行的，受目录遍历攻击漏洞的影响。如果远程攻击者提交了恶意请求的话，就可能以named权限访问根目录外的任意文件。

Softwin：目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.bitdefender.com/