标题: [资讯] Akamai Red Swoosh跨站请求伪造漏洞 [打印本页]

---

作者: 西布伦    时间: 2008-6-12 14:59     标题: Akamai Red Swoosh跨站请求伪造漏洞

Akamai Red Swoosh跨站请求伪造漏洞

--------------------------------------------------------------------------------
受影响系统：
Akamai Red Swoosh 3322

不受影响系统：
Akamai Red Swoosh 3333

描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2008-1106

Red Swoosh是分布式的联网软件，用于增强文件传送和音频流功能。

Red Swoosh客户端在9421/TCP端口的环回接口上实现一个Web服务器监听管理命令。在这个接口上的授权是基于HTTP referer头的，referer头中包含有一些域的请求或没有referer的请求都可以获得授权。如果恶意站点伪造了HTTP referer的话，就会导致下载并执行任意URL的文件。

<*来源：Dyon Balding
  
  链接：http://secunia.com/secunia_research/2008-19/advisory/
        http://marc.info/?l=bugtraq&m=121277609930967&w=2
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Akamai
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.akamai.com/html/redswoosh/overview.html

---

欢迎光临 IT家园 (http://bbs.it998.com/)

Powered by Discuz! 7.2