當(dāng)前位置:首頁 > 芯聞號(hào) > 充電吧
[導(dǎo)讀]根據(jù)思科(Cisco)8月27日安全公告顯示,思科自適應(yīng)安全設(shè)備(ASA)軟件和思科Firepower威脅防御(FTD)軟件爆出高危漏洞,需要盡快升級(jí)。以下是漏洞詳情: 漏洞詳情 來源: https:

根據(jù)思科(Cisco)8月27日安全公告顯示,思科自適應(yīng)安全設(shè)備(ASA)軟件和思科Firepower威脅防御(FTD)軟件爆出高危漏洞,需要盡快升級(jí)。以下是漏洞詳情:

漏洞詳情

來源:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

CVEID :CVE-2020-3452

CSS評(píng)分:7.5 高

思科自適應(yīng)安全設(shè)備(ASA)軟件是其中的一套防火墻和網(wǎng)絡(luò)安全平臺(tái),主要用于工業(yè)交換機(jī),路由器等安全設(shè)備。Firepower FTD是思科其中的一個(gè)威脅防御安全軟件,主要用于工業(yè)防火墻設(shè)備。

思科ASA和Firepower FTD軟件的Web服務(wù)界面中的漏洞可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者進(jìn)行目錄遍歷攻擊并讀取目標(biāo)系統(tǒng)上的敏感文件。

該漏洞是由于受影響的設(shè)備處理的HTTP請(qǐng)求中的URL缺乏正確的輸入驗(yàn)證所致。攻擊者可以通過將包含目錄遍歷字符序列的特制HTTP請(qǐng)求發(fā)送到受影響的設(shè)備來利用此漏洞。成功利用此漏洞可能使攻擊者可以在目標(biāo)設(shè)備上查看Web服務(wù)文件系統(tǒng)內(nèi)的任意文件。例如,這可能允許攻擊者冒充另一個(gè)VPN用戶并以該用戶的身份與設(shè)備建立無客戶端SSL VPN或AnyConnect VPN會(huì)話。當(dāng)受影響的設(shè)備配置了WebVPN或AnyConnect功能時(shí),將啟用Web服務(wù)文件系統(tǒng)。無法使用此漏洞來訪問ASA或FTD系統(tǒng)文件,基礎(chǔ)操作系統(tǒng)(OS)文件或VPN用戶登錄憑據(jù)。

受影響產(chǎn)品

如果Cisco產(chǎn)品運(yùn)行帶有易受攻擊的AnyConnect或WebVPN配置的易受攻擊的Cisco ASA軟件或Cisco FTD軟件版本,則此漏洞會(huì)影響它們。

ASA軟件有以下3種配置,容易受到攻擊:

1.AnyConnect IKEv2遠(yuǎn)程訪問(帶有客戶端服務(wù)) 執(zhí)行配置 crypto ikev2 enable <接口名稱>客戶端服務(wù)端口<端口號(hào)>

2.AnyConnect SSL VPN 執(zhí)行配置webvpn enable <接口名稱>

3.無客戶端SSL VPN 執(zhí)行配置webvpn enable <接口名稱>

FTD軟件有以下2種配置,容易受到攻擊:

1.AnyConnect IKEv2遠(yuǎn)程訪問(帶有客戶端服務(wù))執(zhí)行配置 crypto ikev2 enable <接口名稱>客戶端服務(wù)端口<端口號(hào)>

2.AnyConnect SSL VPN 執(zhí)行配置 webvpn enable <接口名稱>

解決方案

思科ASA軟件

1.Cisco ASA軟件9.5版及更早版本以及9.7版已到軟件維護(hù)終止,建議客戶遷移到包含此漏洞修復(fù)程序的受支持版本

2.Cisco ASA 9.6 升級(jí) 9.6.4.42可修復(fù)

3.Cisco ASA 9.8 升級(jí) 9.8.4.20可修復(fù)

4.Cisco ASA 9.9 升級(jí) 9.9.2.74可修復(fù)

5.Cisco ASA 9.10升級(jí) 9.10.1.42可修復(fù)

6.Cisco ASA 9.12 升級(jí) 9.12.3.12可修復(fù)

7.Cisco ASA 9.13 升級(jí) 9.13.1.10可修復(fù)

8.Cisco ASA 9.14 升級(jí) 9.14.1.10可修復(fù)

思科FTD軟件

1. FTD 早于6.2.2版本不受影響

2. FTD 6.2.2 遷移到可修復(fù)版本

3.FTD 6.2.3 遷移到6.2.3.16可修復(fù)

4.FTD 6.3.0 遷移到遷移到6.4.0.9 +修補(bǔ)程序或6.6.0.1或6.3.0.5 +修補(bǔ)程序1或6.3.0.6(2020年秋季)可修復(fù)

5.FTD 6.4.0遷移到6.4.0.9 + Hot Fix 或6.4.0.10(2020年秋季)可修復(fù)

6.FTD 6.5.0 遷移到遷移到6.6.0.1或6.5.0.4 +修補(bǔ)程序或6.5.0.5(2020年秋季)可修復(fù)

7.FTD 6.6.0 遷移到6.6.0.1可修復(fù)

要升級(jí)到修復(fù)版本的Cisco FTD軟件,客戶可以執(zhí)行以下任一操作:

對(duì)于使用Cisco Firepower管理中心(FMC)管理的設(shè)備,請(qǐng)使用FMC界面來安裝升級(jí)。安裝完成后,重新應(yīng)用訪問控制策略。

對(duì)于使用Cisco Firepower設(shè)備管理器(FDM)管理的設(shè)備,請(qǐng)使用FDM接口安裝升級(jí)。安裝完成后,重新應(yīng)用訪問控制策略。

查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問官網(wǎng):

https://tools.cisco.com/security/center/publicationListing.x

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉