Cisco Web Security Appliance és Email Security Appliance sérülékenységek

CH azonosító

CH-12599

Angol cím

Cisco Web Security Appliance and Email Security Appliance vulnerabilities

Felfedezés dátuma

2015.09.09.

Súlyosság

Közepes

Érintett rendszerek

CISCO
Email Security Appliance Web Framework
Web Security Appliance

Érintett verziók

CVE-2015-6290: WSA 8.0.7
CVE-2015-6287: WSA 8.0.6-078 és 8.0.6-115
CVE-2015-6285: 7.6.0 és 8.0.0
(Mindhárom sérülékenység esetében későbbi verziók is érintettek lehetnek.)

Összefoglaló

A Cisco Web Security Appliance esetében kettő sérülékenység vált ismertté, melyek a támadott rendszeren szolgáltatás megtagadás (DoS) előidézésére alkalmasak. Hasonlóan az Email Security Appliance-hez, amelynek működésbeli hibája szintén ehhez vezethet.

Leírás

Az egyik probléma (CVE-2015-6290) a WSA webes interfészét érinti és olyan memória-kezelési hibák teszik lehetővé a támadást, amelyek a TCP kapcsolatok feldolgozása közben lépnek fel. Egy hitelesítetlen rosszindulatú távoli felhasználó közbeékelődéses (man-in-the-middle) támadási technikák alkalmazásával képes lehet olyan előre formázott HTTP válaszokat küldeni a sérülékeny eszköznek, amelyek hatására az eldobja a TCP kapcsolatokat, mielőtt gondoskodna a memória felszabadításáról. 

WSA-t érintő másik sérülékenység (CVE-2015-6287) a válaszra váró DNS kérések nem megfelelő kezeléséből fakad. A támadó proxyn keresztül a TCP forgalom megnövelésével képes lehet a szolgáltatás megtagadás előidézésére, ami a kliens oldalon HTTP 503Service Unavailable” hibaüzenetként jelentkezik.

Az Email Security Appliance-t (ESA) súlytó hiba (CVE-2015-6285) a beolvasott karakterláncok nem megfelelő validálásából adódik és előre formázott HTTP kéréseken keresztül válhat kihasználhatóvá.

Megoldás

CVE-2015-6290 esetében a gyártó még nem adott ki javítást. Rendszergazdák számára az alábbi javaslatokat tették közzé:

  • Ajánlott ACL listák alkalmazása, amelyeken keresztül ellenőrizhetik a hozzáférési jogosultságot a sérülékeny rendszereken.
  • Javasolt fizikai védelmi eszközök használata üzemi szervereken.
  • Javasolt felvenni a kapcsolatot a gyártóval a várható frissítésekkel kapcsolatban.

CVE-2015-6287 esetében elérhető javítás a gyártótól.

CVE-2015-6285 esetében sem sikerült még befoltozni a hibát.