Cisco Content Delivery System gibt Dateien preis

Der im Cisco Content Delivery System enthaltene Internet Streamer, der sich um die Verteilung von Videos über das Netz kümmert, liefert Angreifern beliebige Dateien oberhalb des freigegebenen Web-Ordners frei Haus. So kann man sich etwa Zugriff auf Passwort- und Logdateien verschaffen.

Dazu genügt es, die Serverkomponente mit passend präparierten URLs zu konfrontieren. Cisco hat die Sicherheitslücke seit Version 2.5.7 geschlossen, verwundbar sind alle älteren Ausgaben. Der Hersteller empfiehlt das Update auf die aktuelle Version 2.5.9, die weitere Fixes enthält. (rei)