思科修复严重的远程代码执行漏洞

阅读量    186800 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

思科发布软件补丁,修复影响运行 ASA (Adaptive Security Appliance) 软件的一个远程代码执行漏洞。思科 ASA 软件是思科 ASA 家族的核心操作系统。思科 ASA 家族是安全网络设备,它结合了防火墙、反病毒、阻止入侵和虚拟 VPN 的能力。安全公告指出,该操作系统的 SSL VPN 功能中存在一个漏洞,影响思科 ASA 软件的老旧版本。

启用 VPN 功能的 ASA 设备受影响

该漏洞的编号是 CVE-2018-0101,它影响在操作系统设置中启用了 “webvpn” 功能的思科 ASA 设备。这些设备包括:

思科表示,攻击者能够向这类设备发送恶意 XML 包并在设备上执行恶意代码。攻击者能够利用该代码控制设备。

 

漏洞 CVSS 评分为10分

CVE-2018-0101 的 CVSS 评分为满分10分,意味着它很容易遭利用,可遭远程利用而且无需在设备进行认证。思科表示已注意到漏洞详情遭公开,不过指出尚未发现漏洞遭利用的迹象。NCC Group 公司的 Cedric Halbronn 发现了这些漏洞并告知思科。思科已发布多个更新。思科在CWE-415 安全公告中公布了修复版本。

思科还表示,目前不存在解决该漏洞的权变措施,因此消费者要么禁用 ASA VPN 功能,要么安装操作系统的更新版本。CVSS 评分为10的漏洞非常少见,不过一旦出现一般都是可遭利用的。去年甲骨文也曾遭受CVSS 评分为10的漏洞影响。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多