发布日期：2010-07-02
更新日期：2010-07-05

受影响系统：

Cisco CSS 11500 08.20.1.01
Cisco ACE 4710 A3(2.5)

描述：

---

BUGTRAQ  ID: 41315
CVE ID: CVE-2010-1576,CVE-2010-2629

Cisco CSS 11500内容服务交换机是用于为数据中心提供强壮可升级网络服务（4-7层）的负载均衡设备。

CSS与常用的Web服务器解释HTTP换行序列的方式有所不同。RFC 2616定义US ASCII回车/换行（CRLF）序列为协议元素（不包括实体）的行终止标记，CSS和ACE都遵循这一要求。但流行的Web服务器允许将各种CRLF序列的排列（包括LF、CR和LFCR）作为行终止标记。如果设备依赖于任何上述头和行终止分隔符或对其进行了更改的话，这种解释上的差异可能导致HTTP请求走私和相关攻击。

<*来源：George D. Gal （ggal@vsecurity.com）
  
  链接：http://marc.info/?l=bugtraq&m=127808444302943&w=2
*>

建议：

---

厂商补丁：

Cisco
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cisco.com/warp/public/707/advisory.html

浏览次数：2626
严重程度：0（网友投票）