CH azonosító
CH-14357Angol cím
Cisco Adaptive Security Appliance vulnerabilityFelfedezés dátuma
2018.01.28.Súlyosság
MagasÉrintett rendszerek
Adaptive Security Appliance (ASA)CISCO
Érintett verziók
3000 Series Industrial Security Appliance (ISA)
5500 Series Adaptive Security Appliance
5500-X Series Next-Generation Firewall
ASA Services Module for Catalyst 6500 Series Switche és 7600 Series Router
1000V Cloud Firewall
Adaptive Security Virtual Appliance (ASAv)
Számos Firepower eszköz
Összefoglaló
A Cisco Adaptive Security Appliance (ASA) Secure Sockets Layer (SSL) VPN szolgáltatás sérülékenysége vált ismertté, amelyt kihasználva a támadó tetszőleges kódot futtathat, vagy szolgáltatás megtagadást érhet el az érintett rendszeren.
Leírás
A sérülékenység speciálisan megszerkesztett XML csomagokkal használható ki, amelyeket az eszköz WebVPN-re konfigurált interfészére küldve “double-free” memória hiba okozható. A támadás sikeres végrehajtása esetén tetszőleges kód futtatható a rendszeren.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 9.1.7.20, 9.2.4.25, 9.31, 9.4.4.14, 9.51, 9.6.3.20, 9.7.1.16, 9.8.2.14, 9.9.1.1 verziókra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2018-0101 - NVD CVE-2018-0101