受影响系统:
Cisco ASA 8.2.1
Cisco ASA 8.1.2
Cisco ASA 8.0(4)
不受影响系统:
Cisco ASA 8.1.2.25
Cisco ASA 8.0.4.34
描述:
BUGTRAQ ID: 35480
CVE(CAN) ID: CVE-2009-1202
Cisco自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。
在通过ASA的Web VPN请求网页的时候,目标资源类型(scheme)和主机名部分首先Rot13编码,然后16进制编码并放在ASA的URL中。例如,可通过请求以下ASA路径访问http://www.trustwave.com :
/+CSCO+0075676763663A2F2F6A6A6A2E67656866676A6E69722E70627A+
+/
显然这个请求的HTML内容经过了ASA的重新格式化: