jueves, 22 de julio de 2010

Escalada de directorios en Cisco Content Delivery System

Cisco ha anunciado la existencia de una vulnerabilidad en Cisco Content Delivery System (CDS), y que podría permitir a un atacante conseguir acceso no autorizado a archivos arbitrarios de los sistemas afectados.

El problema reside en un error de validación de entradas en el servidor web de la aplicación Internet Streamer, que un atacante podría aprovechar para acceder a los contenidos de cualquier archivo (archivos de contraseñas, logs, configuraciónes, etc.) mediante ataques de escalada de directorios.

Se ven afectadas las versiones de Cisco Content Delivery System (CDS) 2.2.x, 2.3.x, 2.4.x y las anteriores a la 2.5.7.

Se recomienda actualizar a la versión 2.5.7 o posterior, y como contramedida aplicar reglas de servicio para impedir la escalada de directorios. Se recomieda consultar el aviso de Cisco disponible en:
http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml

No hay comentarios:

Publicar un comentario en la entrada