受影响系统:
Cisco Content Delivery System 2.5.x
Cisco Content Delivery System 2.4.x
Cisco Content Delivery System 2.3.x
Cisco Content Delivery System 2.2.x
不受影响系统:
Cisco Content Delivery System 2.5.7
描述:
Cisco Content Delivery System(CDS)是一种集成式系统,包含用于将内容发送到数字电视和机顶盒的电视流应用,还包含用于将内容发送到PC、Wi-Fi连接移动设备和PDA等IP设备的互联网流应用。
Cisco CDS中所捆绑的的Cisco Internet Streamer应用在其Web Server组件中存在目录遍历漏洞,允许访问任意文件。攻击者可以通过使用特制的ULR来用这个漏洞,从Web Server文档目录外读取设备上的任意文件,包括用于保护管理员账号详细信息和系统日志的口令文件。
<*来源:Christopher Richardson
Simon John
链接:http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml
*>
建议:
临时解决方法:
* 可以通过服务规则拒绝对敏感目录的访问。以下示例显示的是拒绝对上级目录的访问:
rule enable
rule action block pattern-list 1
rule pattern-list 1 url-regex ^http://.*/../.*
rule pattern-list 1 url-regex ^https://.*/../.*
厂商补丁:
Cisco
—–
Cisco已经为此发布了一个安全公告(cisco-sa-20100721-spcdn)以及相应补丁:
cisco-sa-20100721-spcdn:CDS Internet Streamer: Web Server Directory Traversal Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml
0 条评论。