Cisco Secure Desktop 页面内存SSL VPN会话生成和访问泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1193127 漏洞类型 设计错误
发布时间 2006-10-18 更新时间 2006-10-20
CVE编号 CVE-2006-5393 CNNVD-ID CNNVD-200610-330
漏洞平台 N/A CVSS评分 2.1
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200610-330
|漏洞详情
CiscoSecureDesktop(CSD)可以通过加密降低远程用户注销或SSLVPN会话超时后cookies、浏览器历史记录、临时文件和下载内容在系统上所遗留的风险。CSD的实现上存在如下一些问题,可能导致在SSLVPN会话相关的敏感信息泄露。Windows页面文件信息泄露由于Windows虚拟内存子系统运行的方式,任何应用程序所使用的虚拟物理内存,包括在SecureDesktop进程空间的,都可能写入页面文件中。Windows页面文件未经加密便存储了所分页出来的物理内存内容,因此可以使用数据取证工具恢复操作系统所分页出的信息。由于这个机制,CSD可能无法在VPN会话终止后删除SSLVPN会话中所生成和访问的所有数据。
|参考资料

来源:CISCO
名称:20061009LimitationsinCiscoSecureDesktop
链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080754f34.shtml
来源:SECTRACK
名称:1017018
链接:http://securitytracker.com/id?1017018
来源:BID
名称:20410
链接:http://www.securityfocus.com/bid/20410