8E6科技R3000 Internet过滤器Host头绕过漏洞

【绿盟科技授权，赛迪发布，谢绝任何网站转载，违者，赛迪网将保留追究其法律责任的权利！】

【赛迪网-IT技术报道】8e6科技的R3000上网行为管理系统是软硬件集成的系统，允许管理者能有效控制与管理互联网用户的上网行为。R3000 Internet过滤器所提供的HTTP URL过滤功能没有正确的验证Host头，用户可以访问设备设置了访问限制的网站。但用户无法利用这个漏洞绕过基于IP地址的过滤限制。

发布日期：2008-08-05

更新日期：2008-08-06

受影响系统：

8E6 Technologies R3000 Internet Filter 2.0.12.10

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 30541

8e6科技的R3000上网行为管理系统是软硬件集成的系统，允许管理者能有效控制与管理互联网用户的上网行为。

R3000 Internet过滤器所提供的HTTP URL过滤功能没有正确的验证Host头，用户可以访问设备设置了访问限制的网站。但用户无法利用这个漏洞绕过基于IP地址的过滤限制。

<*来源：nnposter （nnposter@disclosed.not）

链接：http://marc.info/?l=bugtraq&m=121794822018119&w=2

*>

建议：

----------------------------------------------------------------------------

厂商补丁：

8E6 Technologies

----------------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.8e6.com.cn/index.htm

(责任编辑：董建伟)