漏洞信息详情
Varnish Cache 授权问题漏洞
- CNNVD编号:CNNVD-201004-059
- 危害等级: 高危
- CVE编号: CVE-2009-2936
- 漏洞类型: 授权问题
- 发布时间: 2010-04-05
- 威胁类型: 远程
- 更新时间: 2021-12-06
- 厂 商:
- 漏洞来源:
漏洞简介
Varnish Cache是一套反向网站缓存服务器。
Varnish Cache(Varnish)存在授权问题漏洞,Varnish 2.1.0 之前的反向代理服务器中的主进程中的命令行界面(又名服务器 CLI 或管理界面)不需要对通过 TCP 端口接收的命令进行身份验证,这允许远程攻击者( 1) 通过 vcl.inline 指令执行任意代码,该指令提供包含内联 C 代码的 VCL 配置文件;(2) 通过 param.set、stop 和 start 指令改变主进程的所有权;(3) 通过 vcl.load 指令读取任意文件的首行;或 (4) 进行跨站点请求伪造 (CSRF) 攻击,利用受害者在受信任网络上的位置和指令的不当输入验证。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.varnish-cache.org/
参考网址
来源: MISC
链接:http://www.varnish-cache.org/wiki/CLI
来源: MISC
链接:http://www.varnish-cache.org/changeset/3865
来源: BUGTRAQ
名称: 20100329 Re: [Full-disclosure] Medium security hole in Varnish reverse proxy
链接:http://www.securityfocus.com/archive/1/archive/1/510368/100/0/threaded
来源: BUGTRAQ
名称: 20100329 Medium security hole in Varnish reverse proxy
链接:http://www.securityfocus.com/archive/1/archive/1/510360/100/0/threaded
受影响实体
暂无
补丁
暂无
评论