به‌روزرسانی محصولات ASA و FTD سیسکو

سیسکو مجموعه‌ای از توصیه‌نامه‌های امنیتی را برای محصولات خود منتشر کرده است. این مجموعه شامل 12 توصیه‌نامه است که 12 آسیب‌پذیری مربوط به نرم‌افزارهای ASA و FTD را تشریح می‌کنند.

1401/01/06 - 20:19
تعداد بازدید: 659

به‌روزرسانی محصولات ASA و FTD سیسکو

سیسکو مجموعه‌ای از توصیه‌نامه‌های امنیتی را برای محصولات خود منتشر کرده است. این مجموعه شامل 12 توصیه‌نامه است که 12 آسیب‌پذیری مربوط به نرم‌افزارهای ASA و FTD را تشریح می‌کنند. سیسکو برای رفع این آسیب‌پذیری‌ها، به‌روزرسانی‌های نرم‌افزاری منتشر کرده است.

همه این آسیب‌پذیری‌ها از درجه اهمیت «بالا» هستند. یک مهاجم با بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند باعث نشت حافظه شود، اطلاعات حساس را مشاهده یا پاک کند، احراز هویت را دور بزند یا باعث ایجاد شرایط منع سرویس روی تجهیز آسیب‌پذیر شود. هفت مورد از این آسیب‌پذیری‌ها نرم‌افزارهای Cisco ASA (Adaptive Security Appliance) و Cisco FTD (Firepower Threat Defense) را تحت تأثیر قرار می‌دهند، یکی از آن‌ها ASA و چهار مورد دیگر FTD را تحت تأثیر قرار می‌دهند.

شدیدترین این آسیب‌پذیری‌ها، امکان پیمایش مسیر را در سرویس‌های وب (Web Services) نرم‌افزارهای ASA و FTD فراهم می‌کند. این آسیب‌پذیری که دارای شناسه CVE-2020-3187 و درجه حساسیت 9.1 است، به مهاجم احراز هویت نشده راه دور اجازه پیمایش مسیر را می‌دهد. سپس مهاجم می‌تواند دسترسی خواندن و پاک کردن فایل‌های حساس تجهیز را به دست آورد. برای اطلاعات بیشتر در مورد هر یک از آسیب‌پذیری‌ها، به لینک توصیه‌نامه‌ها در جدول زیر مراجعه نمایید.

توصیه‌نامه امنیتی	شناسه آسیب‌پذیری	درجه حساسیت
منع سرویس IPv6 DNS در نرم‌افزارهای ASA و FTD cisco-sa-asaftd-ipv6-67pA658k	CVE-2020-3191	8.6
منع سرویس در پردازش بسته‌های OSPF با فرمت نامناسب در نرم‌افزارهای ASA و FTD cisco-sa-asa-ftd-ospf-dos-RhMQY8qx	CVE-2020-3298	8.6
منع سرویس در پروتکل Media Gateway Control در نرم‌افزارهای ASA و FTD cisco-sa-asaftd-mgcp-SUqB8VKH	CVE-2020-3254	8.6
نشت حافظه در پردازش بسته‌های OSPF در نرم‌افزارهای ASA و FTD cisco-sa-asa-ftd-ospf-memleak-DHpsgfnv	CVE-2020-3195	8.6
منع سرویس در SSL/TLS در نرم‌افزارهای ASA و FTD cisco-sa-asa-ssl-vpn-dos-qY7BHpjN	CVE-2020-3196	8.6
افشای اطلاعات سرویس‌های وب (Web Services) در نرم‌افزارهای ASA و FTD cisco-sa-asaftd-info-disclose-9eJtycMB	CVE-2020-3259	7.5
پیمایش مسیر در سرویس‌های وب (Web Services) در نرم‌افزارهای ASA و FTD cisco-sa-asaftd-path-JE3azWw43	CVE-2020-3187	9.1
دور زدن احراز هویت Kerberos در نرم‌افزار ASA cisco-asa-kerberos-bypass-96Gghe2sS	CVE-2020-3125	8.1
منع سرویس در Cisco Firepower سری 1000 cisco-sa-ftd-tls-dos-4v5nmWtZ	CVE-2020-3283	8.6
منع سرویس در تونل Generic Routing Encapsulation (GRE) over IPv6 در نرم‌افزار FTD cisco-sa-ftd-dos-2-sS2h7aWe	CVE-2020-3179	8.6
منع سرویس بسته‌های سیل‌آسا (packet flood) در نرم‌افزار FTD cisco-sa-ftd-dos-N2vQZASR	CVE-2020-3255	7.5
منع سرویس در وقایع‌نگار (logging) سیستم VPN نرم‌افزار FTD cisco-sa-ftd-dos-Rdpe34sd8	CVE-2020-3189	8.6

منبع: Cisco

کلمات کلیدی