思科修补企业防火墙产品中的33个漏洞

admin 2022年11月15日03:10:01评论55 views字数 1745阅读5分49秒阅读模式
网络安全等级保护:信息系统安全运维管理指南思维导图

美国NSA发布:防范软件内存安全问题指南

CISA发布漏洞修补决策树模型

2021年10大网络安全漏洞

最常见的20种网络安全攻击类型

《网络数据分类分级要求》(征求意见稿)思维导图

关基保护:关键信息基础设施安全保护要求的一点杂感

2023 年应该注意的10种网络攻击类型

澳大利亚:网络安全原则

卡内基梅隆大学:缓解内部威胁的常识指南

思科本周宣布发布针对 33 个中高危漏洞的补丁,这些漏洞影响运行思科自适应安全设备 (ASA)、Firepower 威胁防御 (FTD) 和 Firepower 管理中心 (FMC) 软件的企业防火墙产品。

最严重的安全缺陷是 CVE-2022-20927,这是 ASA 和 FTD 软件的动态访问策略 (DAP) 功能中的一个错误,允许未经身份验证的远程攻击者导致拒绝服务 (DoS) 条件。

思科修补企业防火墙产品中的33个漏洞

思科解释说,由于从姿势 (HostScan) 模块接收到的数据处理不当,攻击者可以发送精心制作的 HostScan 数据以导致受影响的设备重新加载。

同样严重的(CVSS 得分为 8.6)是 CVE-2022-20946,这是 FTD 软件版本 6.3.0 及更高版本的通用路由封装 (GRE) 隧道解封装功能中的一个 DoS 漏洞。

存在此问题的原因是处理 GRE 流量期间的内存处理错误。攻击者可以通过受影响的设备发送精心设计的 GRE 有效负载来利用该漏洞,使其重新启动。

思科本周解决的其他三个高严重性 DoS 漏洞影响简单网络管理协议 (SNMP) 功能和 ASA 和 FTD 的 SSL/TLS 客户端,以及 FMC 和 FTD 的 SSH 连接的处理。

根据 Cisco 的说法,这些错误的存在分别是由于输入验证不足、启动 SSL/TLS 连接时内存管理不当以及建立 SSH 会话失败时错误处理不当造成的。

思科本周解决的其他严重缺陷包括 ASA 和 FMC 中的默认凭据问题,以及运行 ASA 或 FTD 的 Secure Firewalls 3100 系列中的安全引导绕过。

思科本周发布了关于其企业防火墙产品中总共 26 个中等严重性漏洞的公告。

最重要的建议涉及 FMC 基于 Web 的管理界面中的 15 个跨站点脚本 (XSS) 错误。这些问题的存在是由于对用户提供的输入的验证不充分,允许攻击者在易受攻击的界面的上下文中执行代码,甚至泄露基于浏览器的信息。

思科修补了这些漏洞,作为其针对 ASA、FTD 和 FMC 软件的半年修复集的一部分。这些补丁计划于 10 月 26 日发布,但该公司将其发布推迟了大约两周。

这家科技巨头表示,它不知道有任何针对这些漏洞的公开攻击。有关这些缺陷的更多信息,请访问Cisco 的产品安全页面。https://tools.cisco.com/security/center/publicationListing.x

思科修补企业防火墙产品中的33个漏洞

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. 工业控制系统安全:信息安全防护指南
  18. 工业控制系统安全:工控系统信息安全分级规范思维导图
  19. 工业控制系统安全:DCS防护要求思维导图
  20. 工业控制系统安全:DCS管理要求思维导图
  21. 工业控制系统安全:DCS评估指南思维导图
  22. 工业控制安全:工业控制系统风险评估实施指南思维导图
  23. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  24. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  25. 数据安全风险评估清单

  26. 成功执行数据安全风险评估的3个步骤

  27. 美国关键信息基础设施数据泄露的成本

  28. VMware 发布9.8分高危漏洞补丁

原文始发于微信公众号(祺印说信安):思科修补企业防火墙产品中的33个漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月15日03:10:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   思科修补企业防火墙产品中的33个漏洞http://cn-sec.com/archives/1409933.html

发表评论

匿名网友 填写信息