漏洞信息详情
Sourcefire 3D Sensor和Defense Center user.cgi权限提升漏洞
- CNNVD编号:CNNVD-200907-096
- 危害等级: 中危
- CVE编号: CVE-2009-2344
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2009-07-07
- 威胁类型: 远程
- 更新时间: 2009-07-08
- 厂 商: sourcefire
- 漏洞来源: Gregory Duchemin c...
漏洞简介
Sourcefire 3D Sensor和Defense Center都是流行的网络入侵保护系统 。
3D Sensor和Defense Center的web管理界面存在权限提升漏洞,允许任意本地账号获得设备的管理员角色。尽管user.cgi PERL脚本正确地验证了入站请求属于已认证的会话,在这种情况下没有考虑请求发起者的角色而盲目的给予了读写访问,因此即使是最低访问级别的用户(如没有配置任何角色的用户)也可以将其提升为管理员并随意更改其他角色或账号参数 。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.sourcefire.com
参考网址
来源: VUPEN
名称: ADV-2009-1785
链接:http://www.vupen.com/english/advisories/2009/1785
来源: SECTRACK
名称: 1022500
链接:http://www.securitytracker.com/id?1022500
来源: BID
名称: 35553
链接:http://www.securityfocus.com/bid/35553
来源: BUGTRAQ
名称: 20090701 Sourcefire 3D Sensor and DC, privilege escalation vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/504694/100/0/threaded
来源: MILW0RM
名称: 9074
链接:http://www.milw0rm.com/exploits/9074
来源: SECUNIA
名称: 35658
链接:http://secunia.com/advisories/35658
受影响实体
- Sourcefire 3d_sensor:4.8.0.3
- Sourcefire 3d_sensor:4.8.0.4
- Sourcefire 3d_sensor:4.8
- Sourcefire 3d_sensor:4.8.1
- Sourcefire Defense_center:4.8.0.4
补丁
暂无
评论