Обнаружена критическая уязвимость в Cisco ASA
вчера в 21:25
В операционной системе Cisco ASA обнаружена критическая узявимость CVE-2016–1287 в реализации протокола Internet Key Exchange (IKE) версии 1 и 2, позволяющая выполнять произвольный код или удалённо перезагрузить устройство специально сформированным UDP-пакетом на порты 500 и 4500. Ей присвоен наивысший уровень опасности.
Уже доступны исправленные версии ОС:
Для большинства современных ОС исправление доступно в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM, а на портале загрузки четвёртая цифра версии указана только в Release Notes.
Подробное описание в блоге Exodus Intelligence:
blog.exodusintel.com/2016/02/10/firewall-hacking
Узвимости подвержены следующие устройства:
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco ISA 3000 Industrial Security Appliance
Уже доступны исправленные версии ОС:
| Базовая версия | Исправленние |
|---|---|
| 7.2 | 9.1(7) |
| 8.2 | 9.1(7) |
| 8.3 | 9.1(7) |
| 8.4 | 8.4(7.30) |
| 8.5 | не подвержена |
| 8.6 | 9.1(7) |
| 8.7 | 8.7(1.18) |
| 9.0 | 9.0(4.38) |
| 9.1 | 9.1(7) |
| 9.2 | 9.2(4.5) |
| 9.3 | 9.3(3.7) |
| 9.4 | 9.4(2.4) |
| 9.5 | 9.5(2.2) |
Для большинства современных ОС исправление доступно в виде в промежуточных (Interim) версий, которые не видны при обновлении через ASDM, а на портале загрузки четвёртая цифра версии указана только в Release Notes.
В версии 9.1.7 обнаружили баг связанный с SNMP, который может вызвать циклическую перезагрузку некоторых устройств. Его и другие проблемы обсуждают в /networking.
-
↑
—
↓ -
1,3k
-
Добавить в избранное 8
@navion
карма 13,0
