| タイトル | Cisco Content Services Switch における HTTP Request Smuggling 攻撃の脆弱性 |
|---|---|
| 概要 | Cisco Content Services Switch (CSS) および Application Control Engine (ACE) には、HTTP ヘッダ間の CRLF シーケンスの代用となる LF、CR および LFCR の使用を適切に処理しないため、ヘッダの挿入を回避される、または HTTP Request Smuggling 攻撃の脆弱性が存在します。 本問題は、Bug ID:CSCta04885 の問題です。 |
| 想定される影響 | 第三者により、巧妙に細工されたヘッダデータを介して、ヘッダの挿入を回避される、または HTTP Request Smuggling 攻撃を誘発される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2010年7月2日0:00 |
| 登録日 | 2010年7月27日17:29 |
| 最終更新日 | 2010年7月27日17:29 |
| CVSS2.0 : 危険 | |
| スコア | 7.5 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| シスコシステムズ |
| Cisco ACE 4710 |
| Cisco CSS 11500 シリーズ |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2010年07月27日] 掲載 |
2018年2月17日10:37 |
| 概要 | The Cisco Content Services Switch (CSS) 11500 with software before 8.20.4.02 and the Application Control Engine (ACE) 4710 with software before A2(3.0) do not properly handle use of LF, CR, and LFCR as alternatives to the standard CRLF sequence between HTTP headers, which allows remote attackers to bypass intended header insertions or conduct HTTP request smuggling attacks via crafted header data, as demonstrated by LF characters preceding ClientCert-Subject and ClientCert-Subject-CN headers, aka Bug ID CSCta04885. |
|---|---|
| 公表日 | 2010年7月7日2:17 |
| 登録日 | 2021年1月29日11:00 |
| 最終更新日 | 2024年11月21日10:14 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:cisco:content_services_switch_11500:8.20.2.01:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cisco:content_services_switch_11500:08.20.1.01:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cisco:content_services_switch_11500:*:*:*:*:*:*:*:* | 8.20.3.03 | ||||
| cpe:2.3:h:cisco:content_services_switch_11500:8.20.1.01:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cisco:content_services_switch_11500:8.20.0.01:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:cisco:ace_4710:*:*:*:*:*:*:*:* | a3\(2.5\) | ||||
| cpe:2.3:h:cisco:ace_4710:a1\(8.0\):*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cisco:ace_4710:a1\(2.0\):*:*:*:*:*:*:* | |||||