ESTsoft InternetDisk 未明漏洞

漏洞信息详情

ESTsoft InternetDisk 未明漏洞

• CNNVD编号：CNNVD-200606-186
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-2899
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2006-06-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-06-08
  
• 厂        商：
  
  estsoft
• 漏洞来源：
  Kil13r discovered …

ESTsoft InternetDISK的2006/04/20之前版本存在未明漏洞，远程认证用户可执行任意代码，可能是通过上载带有多个扩展名的文件到WebLink目录。

临时解决方法：

1 – 使用强壮的cookies确保只有授权用户才能访问配置；

2 – 使用哈希储存敏感信息；

3 – 创建防火墙策略过滤端口和IP；

4 – 要求初次登录后更改默认的用户名/口令，不允许将口令更改为最近一次使用的；

5 – 使用HTTPS。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.dlinkbrasil.com.br/internet/downloads/Wireless/DWL-2100AP/DWL2100AP-firmware-v210na-r0343.tfp

来源: BID

名称: 18279

链接:http://www.securityfocus.com/bid/18279

来源: BUGTRAQ

名称: 20060605 [Kil13r-SA-20060606] ESTsoft InternetDISK Arbitary Code Execution Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/436001/100/0/threaded

来源: XF

名称: internetdisk-url-code-execution(26948)

链接:http://xforce.iss.net/xforce/xfdb/26948

来源: SECTRACK

名称: 1016233

链接:http://securitytracker.com/id?1016233

来源: SREASON

名称: 1063

链接:http://securityreason.com/securityalert/1063