English

◀◁ 뒤로 취약점ID 29028 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 3Com RAS 1500 라우터는 원격지의 사용자들이 설정 파일을 읽어갈 수 있게 해 준다. 3Com SuperStack II RAS (Remote Access System) 1500은 download.htm 파일에 대해서만 HTTP 기본 인증을 요구하는데, 이 파일은 설정 파일들과 시스템 소프트웨어에 대한 다운로드 관리자이다. 불행히도 시스템 이미지들과 설정 파일들은 HTTP 인증에 의해 보호되지 않는다. 비 인가된 사용자는 설정 파일과 시스템 파일들을 RAS 1500에 있는 웹 인터페이스를 이용하여 읽어 갈 수 있다. 특히, 사용자 설정 파일인 user_settings.cfg은 디바이스의 패스워드를 암호화 안된 상태로 가지고 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/316043 http://isec.pl/vulnerabilities/isec-0009-3com-ras.txt * 영향을 받는 플랫폼: 3com SuperStack II RAS 1500 Firmware X2.0.10 해결책 2014년 6월 현재 패치나 업그레이드는 나와 있지 않다. 신뢰할 수 없는 네트웍들로부터 이 장비로 들어오는 트래픽을 필터링 하여야 한다. 관련 URL (CVE) 관련 URL 7176 (SecurityFocus) 관련 URL (ISS)