漏洞信息详情
Akamai Red Swoosh HTTP 引用跨站请求伪造漏洞
- CNNVD编号:CNNVD-200806-124
- 危害等级: 中危
- CVE编号: CVE-2008-1106
- 漏洞类型: 授权问题
- 发布时间: 2008-06-09
- 威胁类型: 远程
- 更新时间: 2009-01-29
- 厂 商: red_swoosh
- 漏洞来源: Dyon Balding
漏洞简介
Red Swoosh是分布式的联网软件,用于增强文件传送和音频流功能。
Red Swoosh客户端在9421/TCP端口的环回接口上实现一个Web服务器监听管理命令。在这个接口上的授权是基于HTTP referer头的,referer头中包含有一些域的请求或没有引用的请求都可以获得授权。如果恶意站点伪造了HTTP referer的话,就会导致下载并执行任意URL的文件。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.akamai.com/HTML/redswoosh/overview.HTML
参考网址
来源: SECUNIA
名称: 30135
链接:http://secunia.com/advisories/30135
来源: XF
名称: redswoosh-http-csrf(42895)
链接:http://xforce.iss.net/xforce/xfdb/42895
来源: BUGTRAQ
名称: 20080606 Secunia Research: Akamai Red Swoosh Cross-Site Request Forgery
链接:http://www.securityfocus.com/archive/1/archive/1/493170/100/0/threaded
来源: BUGTRAQ
名称: 20080606 Akamai Technologies Security Advisory 2008-0003 (Akamai Client Software)
链接:http://www.securityfocus.com/archive/1/archive/1/493169/100/0/threaded
来源: SREASON
名称: 3930
链接:http://securityreason.com/securityalert/3930
来源: MISC
链接:http://secunia.com/secunia_research/2008-19/advisory/
来源: SECTRACK
名称: 1020208
链接:http://www.securitytracker.com/id?1020208
来源: VUPEN
名称: ADV-2008-1761
链接:http://www.frsirt.com/english/advisories/2008/1761/references
受影响实体
- Red_swoosh Client:3322
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论