Cisco ASA Web 介面 DoS (cisco-sa-20180606-asaftd)

high Nessus Plugin ID 124172

Synopsis

遠端裝置缺少供應商提供的安全性修補程式。

描述

遠端 Cisco 自適安全設備 (ASA) 遺漏供應商提供的一個安全性修補程式。因此,受到 web 介面中的一個弱點影響,這是因為不當驗證 HTTP URL 所致。未經驗證的遠端攻擊者可加以惡意利用,透過特製的 HTTP 要求造成 DoS 情形或在未經驗證的情況下洩漏資訊。此弱點適用於 IPv4 和 IPv6 HTTP 流量。

解決方案

升級至 Cisco 安全性公告 cisco-sa-20180606-asaftd 中所述的相關修正版本。

另請參閱

http://www.nessus.org/u?c235f451

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi16029

Plugin 詳細資訊

嚴重性: High

ID: 124172

檔案名稱: cisco-sa-20180606-asaftd.nasl

版本: 1.14

類型: local

系列: CISCO

已發布: 2019/4/19

已更新: 2022/12/5

組態: 啟用 Paranoid 模式

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 4.3

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:P

時間媒介: E:H/RL:OF/RC:C

CVSS 評分資料來源: CVE-2018-0296

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 7.2

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cisco:firepower, cpe:/a:cisco:firepower_threat_defense

必要的 KB 項目: installed_sw/Cisco Firepower Threat Defense, Settings/ParanoidReport

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/6/6

弱點發布日期: 2018/6/6

CISA 已知利用日期: 2022/5/3

參考資訊

CVE: CVE-2018-0296

BID: 104612

CISCO-BUG-ID: CSCvi16029

CISCO-SA: cisco-sa-20180606-asaftd

CEA-ID: CEA-2019-0741, CEA-2019-0240