CSRF атака в Akamai Red Swoosh Client

Дата публикации:
06.06.2008
Всего просмотров:
1830
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Akamai Red Swoosh Client
Уязвимые версии: Akamai Red Swoosh Client версии до 3333

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Red Swoosh клиент содержит Web сервер для выполнения административных команд, слушающий на порт 9421/TCP на интерфейсе обратной петли. Уязвимость существует из-за того, что авторизация происходит только по HTTP заголовку "referer". Удаленный пользователь может обойти процесс авторизации и инициализировать загрузку и выполнение произвольных URL.

Red Swoosh клиент может быть установлен при посещении Web сайта Akamai или при установке Akamai Download Manager.

URL производителя: www.akamai.com/html/redswoosh/overview.html

Решение: Установите последнюю версию 3333 с сайта производителя.

Windows:
http://www.akapult.net/install/bin/rswin_3333.dll

MacOS:
http://www.akapult.net/install/bin/rsmac_3333

Linux:
http://www.akapult.net/install/bin/rslin_3333

Ссылки: Secunia Research: Akamai Red Swoosh Cross-Site Request Forgery

или введите имя

CAPTCHA