发布日期：2001-02-05
更新日期：2001-02-05

受影响系统：

   Cisco WebNS 4.0.1
   Cisco WebNS 4.0
   Cisco WebNS 3.1
   Cisco WebNS 3.0

描述：

---

Cisco Content Services (CSS) 交换机是硬件设备，它应用
Cisco Web Network Services (Web NS)，被设计用来为电子
商务和Web内容传送加速 Web 服务。CSS 交换机由 Cisco 系
统分发。

WebNS 软件存在一个问题，这使得本地用户可以访问受限资源。
在强化访问控制以阻止读取和更改交换机配置时，CSS 交换机
容许用户访问某些功能。归咎于处理输入时的一个问题，通过
执行命令访问不存在的文件，用户可以获得目录结构信息。一
旦目录知道了，就可以读取目录里的文件了。

这个漏洞使得恶意用户可以映射目录树，读取存有敏感信息的
文件。

<* 来源：Ollie Whitehouse (ollie@atstake.com) *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Arrowpoint show script ../logs/syslog


建议：

---

临时解决办法：

   NSFOCUS建议您限制对CSS交换机的未授权访问。


厂商补丁：

CISCO正着手提供相应的补丁，请随时查看下列链接的信息：
http://www.cisco.com/public/sw-center/sw-web.shtml


浏览次数：5228
严重程度：0（网友投票）