D-Link DWL-2100AP /cgi-bin/ cfg文件信息泄露漏洞

漏洞信息详情

D-Link DWL-2100AP /cgi-bin/ cfg文件信息泄露漏洞

• CNNVD编号：CNNVD-200606-185
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-2901
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2006-06-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-06-08
  
• 厂        商：
  
  d-link
• 漏洞来源：
  Wendel Guglielmett…

D-Link DWL-2100AP是友讯（D-Link）公司的一款无线接入器。

如果攻击者对/cgi-bin/目录中任何有.cfg扩展名的文件发起HTTP请求的话，就会返回所有的设备配置，包括 用户名、口令、SSID、IP、子网掩码等。

临时解决方法：

1 – 使用强壮的cookies确保只有授权用户才能访问配置；

2 – 使用哈希储存敏感信息；

3 – 创建防火墙策略过滤端口和IP；

4 – 要求初次登录后更改默认的用户名/口令，不允许将口令更改为最近一次使用的；

5 – 使用HTTPS。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.dlinkbrasil.com.br/internet/downloads/Wireless/DWL-2100AP/DWL2100AP-firmware-v210na-r0343.tfp

来源: BID

名称: 18299

链接:http://www.securityfocus.com/bid/18299

来源: BUGTRAQ

名称: 20060607 ADVISORY – D-Link Wireless Access-Point

链接:http://www.securityfocus.com/archive/1/archive/1/436281/100/0/threaded

来源: MISC

链接:http://www.intruders.com.br/adv0206en.html

来源: VUPEN

名称: ADV-2006-2186

链接:http://www.frsirt.com/english/advisories/2006/2186

来源: SECUNIA

名称: 20474

链接:http://secunia.com/advisories/20474

来源: XF

名称: dlink-config-file-access(26973)

链接:http://xforce.iss.net/xforce/xfdb/26973

来源: BUGTRAQ

名称: 20080301 The Router Hacking Challenge is Over!

链接:http://www.securityfocus.com/archive/1/archive/1/489009/100/0/threaded

来源: MISC

链接:http://www.intruders.org.br/adv0206en.html

来源: MISC

链接:http://www.gnucitizen.org/projects/router-hacking-challenge/

来源: SECTRACK

名称: 1016234

链接:http://securitytracker.com/id?1016234

来源: SREASON

名称: 1064

链接:http://securityreason.com/securityalert/1064