发布日期：2010-07-21
更新日期：2010-07-22

受影响系统：

Cisco Content Delivery System 2.5.x
Cisco Content Delivery System 2.4.x
Cisco Content Delivery System 2.3.x
Cisco Content Delivery System 2.2.x

不受影响系统：

Cisco Content Delivery System 2.5.7

描述：

---

BUGTRAQ  ID: 41846
CVE ID: CVE-2010-1577

Cisco Content Delivery System（CDS）是一种集成式系统，包含用于将内容发送到数字电视和机顶盒的电视流应用，还包含用于将内容发送到PC、Wi-Fi连接移动设备和PDA等IP设备的互联网流应用。

Cisco CDS中所捆绑的的Cisco Internet Streamer应用在其Web Server组件中存在目录遍历漏洞，允许访问任意文件。攻击者可以通过使用特制的ULR来用这个漏洞，从Web Server文档目录外读取设备上的任意文件，包括用于保护管理员账号详细信息和系统日志的口令文件。

<*来源：Christopher Richardson
        Simon John
  
  链接：http://secunia.com/advisories/40701/
        http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml
*>

建议：

---

临时解决方法：

* 可以通过服务规则拒绝对敏感目录的访问。以下示例显示的是拒绝对上级目录的访问：

    rule enable
    rule action block pattern-list 1
    rule pattern-list 1 url-regex ^http://.*/../.*
    rule pattern-list 1 url-regex ^https://.*/../.*

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20100721-spcdn）以及相应补丁:
cisco-sa-20100721-spcdn：CDS Internet Streamer: Web Server Directory Traversal Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml

浏览次数：3187
严重程度：0（网友投票）