به‌روزرسانی محصولات ASA و FTD سیسکو

سیسکو مجموعه‌ای از توصیه‌نامه‌های امنیتی را برای محصولات خود منتشر کرده است. این مجموعه شامل 12 توصیه‌نامه است که 12 آسیب‌پذیری مربوط به نرم‌افزارهای ASA و FTD را تشریح می‌کنند.

به‌روزرسانی محصولات ASA و FTD سیسکو

 

سیسکو مجموعه‌ای از توصیه‌نامه‌های امنیتی را برای محصولات خود منتشر کرده است. این مجموعه شامل 12 توصیه‌نامه است که 12 آسیب‌پذیری مربوط به نرم‌افزارهای ASA و FTD را تشریح می‌کنند. سیسکو برای رفع این آسیب‌پذیری‌ها، به‌روزرسانی‌های نرم‌افزاری منتشر کرده است.

 

همه این آسیب‌پذیری‌ها از درجه اهمیت «بالا» هستند. یک مهاجم با بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند باعث نشت حافظه شود، اطلاعات حساس را مشاهده یا پاک کند، احراز هویت را دور بزند یا باعث ایجاد شرایط منع سرویس روی تجهیز آسیب‌پذیر شود. هفت مورد از این آسیب‌پذیری‌ها نرم‌افزارهای Cisco ASA (Adaptive Security Appliance) و Cisco FTD (Firepower Threat Defense) را تحت تأثیر قرار می‌دهند، یکی از آن‌ها ASA و چهار مورد دیگر FTD را تحت تأثیر قرار می‌دهند.

شدیدترین این آسیب‌پذیری‌ها، امکان پیمایش مسیر را در سرویس‌های وب (Web Services) نرم‌افزارهای ASA و FTD فراهم می‌کند. این آسیب‌پذیری که دارای شناسه CVE-2020-3187 و درجه حساسیت 9.1 است، به مهاجم احراز هویت نشده راه دور اجازه پیمایش مسیر را می‌دهد. سپس مهاجم می‌تواند دسترسی خواندن و پاک کردن فایل‌های حساس تجهیز را به دست آورد. برای اطلاعات بیشتر در مورد هر یک از آسیب‌پذیری‌ها، به لینک توصیه‌نامه‌ها در جدول زیر مراجعه نمایید.

 

توصیه‌نامه امنیتی شناسه آسیب‌پذیری درجه حساسیت
منع سرویس IPv6 DNS در نرم‌افزارهای ASA و FTD

cisco-sa-asaftd-ipv6-67pA658k

CVE-2020-3191 8.6
منع سرویس در پردازش بسته‌های OSPF با فرمت نامناسب در نرم‌افزارهای ASA و FTD

cisco-sa-asa-ftd-ospf-dos-RhMQY8qx

CVE-2020-3298 8.6
منع سرویس در پروتکل Media Gateway Control در نرم‌افزارهای ASA و FTD

cisco-sa-asaftd-mgcp-SUqB8VKH

CVE-2020-3254 8.6
نشت حافظه در پردازش بسته‌های OSPF در نرم‌افزارهای ASA و FTD

cisco-sa-asa-ftd-ospf-memleak-DHpsgfnv

CVE-2020-3195 8.6
منع سرویس در SSL/TLS در نرم‌افزارهای ASA و FTD

cisco-sa-asa-ssl-vpn-dos-qY7BHpjN

CVE-2020-3196 8.6
افشای اطلاعات سرویس‌های وب (Web Services) در نرم‌افزارهای ASA و FTD

cisco-sa-asaftd-info-disclose-9eJtycMB

CVE-2020-3259 7.5
پیمایش مسیر در سرویس‌های وب (Web Services) در نرم‌افزارهای ASA و FTD

cisco-sa-asaftd-path-JE3azWw43

CVE-2020-3187 9.1
دور زدن احراز هویت Kerberos در نرم‌افزار ASA

cisco-asa-kerberos-bypass-96Gghe2sS

CVE-2020-3125 8.1
منع سرویس در Cisco Firepower سری 1000

cisco-sa-ftd-tls-dos-4v5nmWtZ

CVE-2020-3283 8.6
منع سرویس در تونل Generic Routing Encapsulation (GRE) over IPv6 در نرم‌افزار FTD

cisco-sa-ftd-dos-2-sS2h7aWe

CVE-2020-3179 8.6
منع سرویس بسته‌های سیل‌آسا (packet flood) در نرم‌افزار FTD

cisco-sa-ftd-dos-N2vQZASR

CVE-2020-3255 7.5
منع سرویس در وقایع‌نگار (logging) سیستم VPN نرم‌افزار FTD

cisco-sa-ftd-dos-Rdpe34sd8

CVE-2020-3189 8.6

 

منبع: Cisco

کلمات کلیدی