Cisco ha anunciado la existencia de una vulnerabilidad en Cisco Content
Delivery System (CDS), y que podría permitir a un atacante conseguir
acceso no autorizado a archivos arbitrarios de los sistemas afectados.
El problema reside en un error de validación de entradas en el servidor
web de la aplicación Internet Streamer, que un atacante podría
aprovechar para acceder a los contenidos de cualquier archivo (archivos
de contraseñas, logs, configuraciónes, etc.) mediante ataques de
escalada de directorios.
Se ven afectadas las versiones de Cisco Content Delivery System (CDS)
2.2.x, 2.3.x, 2.4.x y las anteriores a la 2.5.7.
Se recomienda actualizar a la versión 2.5.7 o posterior, y como
contramedida aplicar reglas de servicio para impedir la escalada de
directorios. Se recomieda consultar el aviso de Cisco disponible en:
http://www.cisco.com/warp/
Cisco Security Advisory: CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/warp/
Via: Hispasec
