漏洞信息详情
Cacheflow CacheOS WEB管理接口任意缓冲页面代码泄露漏洞
- CNNVD编号:CNNVD-200203-081
- 危害等级: 低危
- CVE编号: CVE-2002-0107
- 漏洞类型: 未知
- 发布时间: 2002-01-08
- 威胁类型: 远程
- 更新时间: 2005-05-02
- 厂 商: cacheflow
- 漏洞来源: Bjorn Djupvik※ bug...
漏洞简介
CacheOS是CacheFlow web缓冲系统设计和发行的固件,由CacheFlow维护。 CacheOS存在一个开放8081端口的WEB管理接口,其中存在访问验证漏洞,发送特殊请求可以导致远程用户获得部分缓冲的页面。 当远程用户通过WEB管理接口8081端口进行连接的时候,提交HTTP标准请求给系统,由Cacheserver管理的信息会防止用户访问。但是如果远程用户连接系统并多次发送没有任何HTTP版本类型的请求(如HTTP/1.0或者HTTP/1.1),可导致Cache服务程序泄露部分信息给连接用户,导致敏感信息如用户名、密码等泄露给攻击者。 通过这些敏感信息可以使攻击者进一步对系统进行攻击。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在防火墙上屏蔽外部网络对8081端口的访问,确认只有合法可信的用户能够访问。 厂商补丁: CacheFlow --------- CacheFlow CacheOS 3.1.21和CacheFlow CacheOS 4.0.14已经修复了这个安全问题。
3.xx的用户请升级到CacheFlow CacheOS 3.1.21:
http://download.cacheflow.com
4.xx的用户请升级到CacheFlow CacheOS 4.0.14:
http://download.cacheflow.com
参考网址
来源: BID 名称: 3841 链接:http://www.securityfocus.com/bid/3841 来源: XF 名称: cachos-insecure-web-interface(7835) 链接:http://www.iss.net/security_center/static/7835.php 来源: BUGTRAQ 名称: 20020205 RE: svindel.net security advisory - web admin vulnerability in Ca cheOS 链接:http://online.securityfocus.com/archive/1/254167 来源: BUGTRAQ 名称: 20020108 svindel.net security advisory - web admin vulnerability in CacheOS 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101052887431488&w=2
受影响实体
- Cacheflow Cacheos:4.0.12
- Cacheflow Cacheos:3.1.20
- Cacheflow Cacheos:3.1.17
- Cacheflow Cacheos:3.1.18
- Cacheflow Cacheos:4.0.13
补丁
暂无
评论