Akamai Red Swoosh跨站请求伪造漏洞

2008-06-11T00:00:00
ID SSV:3396
Type seebug
Reporter Root
Modified 2008-06-11T00:00:00

Description

CVE(CAN) ID: CVE-2008-1106

Red Swoosh是分布式的联网软件,用于增强文件传送和音频流功能。

Red Swoosh客户端在9421/TCP端口的环回接口上实现一个Web服务器监听管理命令。在这个接口上的授权是基于HTTP referer头的,referer头中包含有一些域的请求或没有referer的请求都可以获得授权。如果恶意站点伪造了HTTP referer的话,就会导致下载并执行任意URL的文件。

Akamai Red Swoosh 3322 Akamai


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.akamai.com/html/redswoosh/overview.html target=_blank>http://www.akamai.com/html/redswoosh/overview.html</a>