思科修复高危的远程代码执行漏洞 (CVSS评分10)
翻译:360代码卫士团队
思科发布软件补丁,修复影响运行 ASA (AdaptiveSecurityAppliance) 软件的一个远程代码执行漏洞。
思科 ASA 软件是思科 ASA 家族的核心操作系统。思科 ASA 家族是安全网络设备,它结合了防火墙、反病毒、阻止入侵和虚拟 VPN 的能力。安全公告指出,该操作系统的 SSL VPN 功能中存在一个漏洞,影响思科 ASA 软件的老旧版本。
该漏洞的编号是 CVE-2018-0101,它影响在操作系统设置中启用了“webvpn”功能的思科 ASA 设备。这些设备包括:
思科表示,攻击者能够向这类设备发送恶意 XML 包并在设备上执行恶意代码。攻击者能够利用该代码控制设备。
CVE-2018-0101 的 CVSS 评分为满分10分,意味着它很容易遭利用,可遭远程利用而且无需在设备进行认证。
思科表示已注意到漏洞详情遭公开,不过指出尚未发现漏洞遭利用的迹象。
NCC Group 公司的 Cedric Halbronn 发现了这些漏洞并告知思科。思科已发布多个更新。思科在CWE-415 安全公告中公布了修复版本。
思科还表示,目前不存在解决该漏洞的权变措施,因此消费者要么禁用 ASA VPN 功能,要么安装操作系统的更新版本。
CVSS 评分为10的漏洞非常少见,不过一旦出现一般都是可遭利用的。去年甲骨文也曾遭受CVSS 评分为10的漏洞影响。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/cisco-fixes-remote-code-execution-bug-rated-10-out-of-10-on-severity-scale/