发布日期:2012-04-05
更新日期:2012-04-06
受影响系统:
Sourcefire 3D Sensor
Sourcefire Defense Center
描述:
--------------------------------------------------------------------------------
Sourcefire 3D Sensor和Defense Center都是网络入侵保护系统。
Sourcefire Defense Center和Sourcefire 3D Sensor在实现上存在两个安全漏洞,可被恶意用户利用执行脚本注入攻击、绕过某些安全限制、泄露敏感信息。
1)传递到ComparisonViewer/report.cgi中的file参数的某些输入没有正确验证即用于显示文件,可通过目录遍历序列泄露任意文件。
2)应用没有限制webroot中的某些文件访问权限,可导致下载和泄露配置文件内容。
3)RUA代理的数据库权限错误可被利用提升权限。
<*来源:Filip Palian (filip.palian@pjwstk.edu.pl)
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Sourcefire
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: