发布日期：2002-01-25
更新日期：2002-01-28

受影响系统：

Nortel Networks Alteon ACEdirector 9.0

描述：

---

BUGTRAQ  ID: 3964
CVE(CAN) ID: CVE-2002-0209

Alteon ACEdirector是一个由Nortel Networks公司提供的HTTP服务器负载平衡硬件解决方案。ACEdirector运行Nortel WebOS操作系统。

ACEdirector的设计存在问题，可以使远程攻击者得到ACEdirector所管理的真实的IP地址。

当有客户端连接ACEdirector代表的虚拟IP地址时，连接被负载均衡重定向到后面服务器池中的某个服务器，并使用cookie和session id进行跟踪，但连接还是被修改成象是来自ACEdirector。当客户端使用半开连接方式连接ACEdirector时，负载均衡系统就不会调节网络流量，网络流量看起来就会来自服务器真实的IP。

<*来源：Dave Plonka （plonka@doit.wisc.edu）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0325.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在客户机与ACEdirector之间设置防火墙。

厂商补丁：

Nortel Networks
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nortelnetworks.com/products/01/acedir/

浏览次数：2917
严重程度：0（网友投票）