发布日期：2005-09-02
更新日期：2005-09-02

受影响系统：

3Com Network Supervisor 5.1
3Com Network Supervisor 5.0.5
3Com Network Supervisor 5.0
3Com Network Director 2.0
3Com Network Director 1.0 SP3
3Com Network Director 1.0 SP2
3Com Network Director 1.0 SP1
3Com Network Director 1.0

描述：

---

BUGTRAQ  ID: 14715
CVE(CAN) ID: CVE-2005-2020

3Com Network Supervisor是功能强大并且易于使用的网络管理应用软件增强版。

3Com Network Supervisor中存在目录遍历漏洞，成功利用这个漏洞的攻击者可以非授权访问与服务器同一文件系统中（通常为C盘）的任何文件。

Network Supervisor包含有在21700端口上运行的httpd。攻击者可以通过创建含有“../”序列的URL访问该服务webroot外的文件。

<*来源：iDEFENSE
  
  链接：http://www.idefense.com/application/poi/display?id=300&type=vulnerabilities&flashstatus=true
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在网络边界限制对21700 端口的访问；过滤对受影响主机的访问。

厂商补丁：

3Com
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

3Com Network Director 1.0
Critical Update 1 for the Initial release and Service Pack 1
http://support.3com.com/software/3Com_network_director_v1_0_sp0_1_cu1.exe

3Com Network Director 1.0
Critical Update 1 for Service Pack 2 and Service Pack 3
http://support.3com.com/software/3Com_network_director_v1_0_sp2_3_cu1.exe

3Com Network Director 2.0
Critical Update 1
http://support.3com.com/software/3com_network_director_v2_0_cu1.exe

3Com Network Supervisor 5.1
Critical Update 1
http://support.3com.com/software/3com_network_supervisor_v5_1_cu1.exe

浏览次数：3268
严重程度：0（网友投票）