云安全日报201028:思科ASA自适应安全设备软件发现拒绝服务漏洞
Cisco ASA是思科其中的一套防火墙和网络安全平台,主要用于工业交换机,路由器等安全设备。
根据思科(Cisco)10月27日安全公告显示,思科自适应安全设备软件(ASA Software)发现拒绝服务高危漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-dos-7uZWwSEy
CVE-2020-27124 CVSS评分:8.6 高
Cisco Adaptive Security Appliance(ASA)软件的SSL/TLS处理程序中存在漏洞,允许未经验证的远程攻击者使受影响的设备意外重新加载,从而导致拒绝服务(DoS)情况。
该漏洞是由于对已建立的SSL/TLS连接的错误处理不当造成的。攻击者可以通过与受影响的设备建立SSL/TLS连接,然后在该连接中发送恶意SSL/TLS消息来利用此漏洞进行攻击。成功利用此漏洞可使攻击者重新加载设备。
受影响产品
如果Cisco ASA软件版本9.13.1.12、9.13.1.13和9.14.1.10启用了导致设备处理SSL/TLS消息的功能,则此漏洞会影响这些版本。这些功能包括但不限于:
1.AnyConnect SSL VPN
2.Clientless SSL VPN
3.用于管理接口的HTTP服务器
注:Cisco Adaptive Security Virtual Appliances(ASAv)不易受这些配置的攻击。
确定设备是否可以处理SSL或TLS消息。要验证运行Cisco ASA软件的设备是否可以处理SSL或TLS数据包,请使用show asp table socket | include SSL | DTLS命令并验证它是否返回输出。当此命令返回任何输出时,设备易受攻击。当此命令返回空输出时,设备不受此漏洞影响。
解决方案
思科已经发布了解决此漏洞的软件更新,Cisco ASA软件版本升级至 9.13.1.16 , 9.14.1.15或更新版本可修复。
以下是升级修复重要说明:
1.对购买了许可证的软件版本和功能集提供支持,通过安装,下载,访问或以其他方式使用此类软件升级。
2.从思科或通过思科授权的经销商或合作伙伴购买的,具有有效许可证的软件可获得维护升级。
3.直接从思科购买但不持有思科服务合同的客户以及通过第三方供应商进行购买但未通过销售点获得修复软件的客户应通过联系思科技术支持中心获得升级。
4.客户应拥有可用的产品序列号,并准备提供上述安全通报的URL,以作为有权免费升级的证据。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x