漏洞信息详情
SSL VPN 安全漏洞
- CNNVD编号:CNNVD-200912-055
- 危害等级: 中危
- CVE编号: CVE-2009-2631
- 漏洞类型: 其他
- 发布时间: 2009-11-30
- 威胁类型: 远程
- 更新时间: 2021-11-16
- 厂 商: cisco
- 漏洞来源: Michal Zalewski※ l...
漏洞简介
SSL VPN是采用SSL协议来实现远程接入的一种新型VPN技术。它包括:服务器认证,客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。
SSL VPN 存在安全漏洞,该漏洞允许远程访问攻击者进行跨站点脚本攻击、读取源自其他域的 cookie、访问 Web VPN 会话以获取内部资源的访问权限、执行密钥记录以及进行其他攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2631
参考网址
来源: US-CERT
名称: VU#261869
链接:http://www.kb.cert.org/vuls/id/261869
来源: XF
名称: sslvpn-sameorigin-security-bypass(54523)
链接:http://xforce.iss.net/xforce/xfdb/54523
来源: www116.nortel.com
链接:http://www116.nortel.com/pub/repository/CLARIFY/DOCUMENT/2009/50/025367-01.pdf
来源: VUPEN
名称: ADV-2009-3571
链接:http://www.vupen.com/english/advisories/2009/3571
来源: VUPEN
名称: ADV-2009-3570
链接:http://www.vupen.com/english/advisories/2009/3570
来源: VUPEN
名称: ADV-2009-3569
链接:http://www.vupen.com/english/advisories/2009/3569
来源: VUPEN
名称: ADV-2009-3568
链接:http://www.vupen.com/english/advisories/2009/3568
来源: VUPEN
名称: ADV-2009-3567
链接:http://www.vupen.com/english/advisories/2009/3567
来源: www.stonesoft.com
链接:http://www.stonesoft.com/en/support/security_advisories/2009_03_12.HTML
来源: www.sonicwall.com
链接:http://www.sonicwall.com/us/2123_14883.HTML
来源: www.sonicwall.com
链接:http://www.sonicwall.com/us/2123_14882.HTML
来源: BID
名称: 37152
链接:http://www.securityfocus.com/bid/37152
来源: BUGTRAQ
名称: 20091202 Same-origin policy bypass vulnerabilities in several VPN products reported
链接:http://www.securityfocus.com/archive/1/archive/1/508164/100/0/threaded
来源: support.nortel.com
链接:http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&DocumentOID=984744
来源: SECTRACK
名称: 1023255
链接:http://securitytracker.com/id?1023255
来源: SECUNIA
名称: 37789
链接:http://secunia.com/advisories/37789
来源: SECUNIA
名称: 37788
链接:http://secunia.com/advisories/37788
来源: SECUNIA
名称: 37786
链接:http://secunia.com/advisories/37786
来源: SECUNIA
名称: 37696
链接:http://secunia.com/advisories/37696
来源: FULLDISC
名称: 20060609 Re: SSL VPNs and security
链接:http://seclists.org/fulldisclosure/2006/Jun/270
来源: FULLDISC
名称: 20060609 Re: SSL VPNs and security
链接:http://seclists.org/fulldisclosure/2006/Jun/269
来源: FULLDISC
名称: 20060608 SSL VPNs and security
链接:http://seclists.org/fulldisclosure/2006/Jun/238
来源: kb.juniper.net
链接:http://kb.juniper.net/KB15799
受影响实体
- Cisco Adaptive_security_appliance
补丁
- SSL VPN 安全漏洞的修复措施
评论