#######################################################################

                             Luigi Auriemma

Application:  Proficy Real-Time Information Portal
              http://www.ge-ip.com/products/2811
Versions:     <= 3.5
Platforms:    Windows
Bug:          directory traversal
Exploitation: remote, versus server
Date:         probably found 18 Jan 2011
Author:       Luigi Auriemma
              e-mail: aluigi@autistici.org
              web:    aluigi.org


#######################################################################


1) Introduction
2) Bug
3) The Code
4) Fix


#######################################################################

===============
1) Introduction
===============



#######################################################################

======
2) Bug
======


rifsrvd.exe is a service running on port 5159.

The opcode ID_SAVE_SRVC_CFG (0x01) is used for creating a file in the
RIFServ folder of the software where is saved the configuration.

The file will have a name composed by "service_config" plus the string
provided by the client but it's enough to specify the usual directory
traversal patterns for bypassing it and writing a bat file in the
Startup folder like in my proof-of-concept.


#######################################################################

===========
3) The Code
===========


http://aluigi.org/poc/rtip_1.zip


#######################################################################

======
4) Fix
======


http://www.zerodayinitiative.com/advisories/ZDI-12-148/


#######################################################################