Cacheflow CacheOS WEB管理接口任意缓冲页面代码泄露漏洞

漏洞信息详情

Cacheflow CacheOS WEB管理接口任意缓冲页面代码泄露漏洞

• CNNVD编号：CNNVD-200203-081
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0107
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-01-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  cacheflow
• 漏洞来源：
  Bjorn Djupvik※ bug…

CacheOS是CacheFlow web缓冲系统设计和发行的固件，由CacheFlow维护。
CacheOS存在一个开放8081端口的WEB管理接口，其中存在访问验证漏洞，发送特殊请求可以导致远程用户获得部分缓冲的页面。
当远程用户通过WEB管理接口8081端口进行连接的时候，提交HTTP标准请求给系统，由Cacheserver管理的信息会防止用户访问。但是如果远程用户连接系统并多次发送没有任何HTTP版本类型的请求(如HTTP/1.0或者HTTP/1.1)，可导致Cache服务程序泄露部分信息给连接用户，导致敏感信息如用户名、密码等泄露给攻击者。
通过这些敏感信息可以使攻击者进一步对系统进行攻击。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在防火墙上屏蔽外部网络对8081端口的访问，确认只有合法可信的用户能够访问。
厂商补丁：
CacheFlow
———
CacheFlow CacheOS 3.1.21和CacheFlow CacheOS 4.0.14已经修复了这个安全问题。

3.xx的用户请升级到CacheFlow CacheOS 3.1.21：

http://download.cacheflow.com” target=”_blank”>
http://download.cacheflow.com

4.xx的用户请升级到CacheFlow CacheOS 4.0.14：

http://download.cacheflow.com” target=”_blank”>
http://download.cacheflow.com

来源: BID
名称: 3841
链接:http://www.securityfocus.com/bid/3841

来源: XF
名称: cachos-insecure-web-interface(7835)
链接:http://www.iss.net/security_center/static/7835.php

来源: BUGTRAQ
名称: 20020205 RE: svindel.net security advisory – web admin vulnerability in Ca cheOS
链接:http://online.securityfocus.com/archive/1/254167

来源: BUGTRAQ
名称: 20020108 svindel.net security advisory – web admin vulnerability in CacheOS
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101052887431488&w=2