El problema reside en un error de validación de entradas en el servidor web de la aplicación Internet Streamer, que un atacante podría aprovechar para acceder a los contenidos de cualquier archivo (archivos de contraseñas, logs, configuraciónes, etc.) mediante ataques de escalada de directorios.
Se ven afectadas las versiones de Cisco Content Delivery System (CDS) 2.2.x, 2.3.x, 2.4.x y las anteriores a la 2.5.7.
Se recomienda actualizar a la versión 2.5.7 o posterior, y como contramedida aplicar reglas de servicio para impedir la escalada de directorios. Se recomieda consultar el aviso de Cisco disponible en:
http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
Cisco Security Advisory: CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml
0 comentarios:
Publicar un comentario en la entrada