Cisco ASA 5500 sorozat sérülékenységei

CH azonosító

CH-4202

Angol cím

Cisco ASA 5500 Series Multiple Vulnerabilities

Felfedezés dátuma

2011.01.16.

Súlyosság

Közepes

Érintett rendszerek

Adaptive Security Appliance (ASA)
CISCO

Érintett verziók

Cisco Adaptive Security Appliance (ASA) 8.x

Összefoglaló

A Cisco ASA (Adaptive Security Appliance) 5500 sorozat több sérülékenységét is jelentették, amelyeket rosszindulatú felhasználók és a támadók kihasználhatnak egyes biztonsági szabályok megkerülésére, a támadók pedig szolgáltatás megtagadást (DoS – Denial of Service) is okozhatnak.

Leírás

  1. Az EIGRP több típusú forgalom kezelésekor fellépő hibája kihasználható bizonyos rendelkezésre álló rendszer erőforrások felemésztésére.
  2. A TELNET csatlakozások kezelési hibája kihasználható a legalacsonyabb biztonsági szintű interfészhez való csatlakozáskor egyes hozzáférési korlátozások megkerülésére.
    A sérülékenység a sikeres kihasználásához érvényés tanúsítvány szükséges.
  3. Egyes, nem részletezett IPSEC forgalom kezelési hibája kihasználható az eszköz összeomlásának előidézésére, nagy mennyiségű forgalom esetén.
  4. Az emWEB fájlnév kérések kezelésekor fellépő hibája kihasználható a kiszolgáló összeomlásának kiváltására, ha a kért fájlnév nyomtatásban láthatatlan karaktereket tartalmaz.
  5. Az indításakor fellépő csomagkezelési hiba kihasználható a konfigurált hozzáférési korlátozások megkerülésére.
  6. Az Online Certificate Status Protocol (OCSP) kezelési hibája csatlakozási hiba esetén kihasználható az OCSP válaszadó TCP csatlakozásainak felemésztésére visszautasított csatlakozási kísérletekkel.
  7. A WebVPN megvalósítás CIFS csatlakozások kezelésekor fellépő hibája kihasználható a megosztásokhoz való hozzáférésre bizonyos CIFS kérésekkel.
    A sérülékenység a sikeres kihasználásához érvényes tanúsítvány szükséges és a CIFS fájlok böngészésének letiltása.
  8. Az SMTP ellenőrző hibája kihasználható a vizsgálat megkerülésére elől álló üres karakterekkel.
  9. Az LDAP csatlakozások kezelési hibája kihasználható a rendelkezésre álló memória teljes felhasználására, érvénytélen hitelesítési kísérletekkel.
  10. A SIP ellenőrző hibája kihasználható az eszköz összeomlásának kiváltására nagy mennyiségű hívással (600 fölött).
  11. A Mobile User Security (MUS) szolgáltatás Web Security Appliance (WSA)-ről érkező HTTP kérések kezelésekor fellépő hibája kihasználható a hitelesítés megkerülésére egy HEAD kéréssel.
  12. A részletesen nem meghetározott, többféle forgalom kezelésekor fellépő hiba kihasználható az eszköz összeomlásának előidézésére.
  13. A LAN-to-LAN (L2L) IPSEC munkafolyamat kezelési hibája kihasználható az eszköz összeomlásának kiváltására, nagy mennyiségű munkafolyamattal (10000 felett).
  14. A több típusú forgalom kezelésekor fellépő részletesen nem ismertetett hiba kihasználható egyes erőforrások kimerítésére (1550 blokk).

A sérülékenységeket a 8.2(4) és 8.3(2) verziókat megelőzőekben jelentették.

Megoldás

Frissítsen a legújabb verzióra.

Megjegyzés: A 14. pont esetén csak megbízható kiszolgálóknak engedélyezze a hozzáférést, például hálózati hozzáférés ellenőrző listák alkalmazásával.