Cisco Adaptive Security Appliance 軟體和 Firepower Threat Defense 軟體輕量型目錄存取通訊協定拒絕服務弱點 (cisco-sa-20190501-asa-ftds-ldapdos)

high Nessus Plugin ID 136972

Synopsis

遠端裝置缺少廠商提供的安全性修補程式

描述

根據其自我報告的版本,Firepower Threat Defense 軟體受到 Cisco Adaptive Security Appliance (ASA) 軟體和 Firepower Threat Defense (FTD) 軟體之輕量型目錄存取通訊協定 (LDAP) 功能實作中的弱點影響,該弱點可允許未經驗證的遠端攻擊者造成受影響的裝置重新載入,進而導致拒絕服務 (DoS) 情形。這是因為程式未正確剖析傳送至受影響裝置的 LDAP 封包。攻擊者可向受影響的裝置傳送使用基本編碼規則 (BER) 特別建構的 LDAP 封包,藉此利用此弱點。若成功惡意利用此弱點,攻擊者即可造成受影響的裝置重新載入,進而導致 DoS 情形。
(CVE-2019-1697)

如需詳細資訊,請參閱隨附的 Cisco BID 和 Cisco 安全性公告

解決方案

升級至 Cisco 錯誤 ID CSCvn20985 中提及的相關修正版本

另請參閱

http://www.nessus.org/u?bc6d5791

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn20985

Plugin 詳細資訊

嚴重性: High

ID: 136972

檔案名稱: cisco-sa-20190501-asa-ftds-ldapdos.nasl

版本: 1.4

類型: local

系列: CISCO

已發布: 2020/5/29

已更新: 2020/6/4

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2019-1697

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:o:cisco:firepower_threat_defense:*:*:*:*:*:*:*:*

必要的 KB 項目: installed_sw/Cisco Firepower Threat Defense

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/5/1

弱點發布日期: 2019/5/1

參考資訊

CVE: CVE-2019-1697

BID: 108182