【漏洞发布】Cisco ASA/FTD设备任意文件读取漏洞
发布时间:2020-07-27
    近日,Cisco针对CVE-2020-3452发布了安全漏洞通告,深圳市网络与信息安全信息通报中心也公告了此漏洞,CVE-2020-3452是影响Adaptive Security Appliance(ASA)和思科Firepower Threat Defense(FTD)软件的目录遍历漏洞,CVSS评分7.5。

  思科Adaptive Security Appliance(ASA)和思科Firepower Threat Defense(FTD)软件的 web 管理界面接口存在漏洞,允许未经身份验证的攻击者可通过向目标设备的Web服务器发送特制请求包读取Web目录下的文件。该漏洞无需交互、不需要身份认证,成功利用该漏洞的攻击者可以查看WebVpn配置信息、书签、Web Cookies、部分Web内容、HTTP URLs等敏感信息。不过攻击者只能查看Web目录下的文件,无法通过该漏洞访问Web目录之外的文件。

影响范围:
Cisco ASA,Cisco FTD
    

Cisco ASA 设备影响版本:

  • <9.6.1

  • 9.6 < 9.6.4.42

  • 9.71

  • 9.8 < 9.8.4.20

  • 9.9 < 9.9.2.74

  • 9.10 < 9.10.1.42

  • 9.12 < 9.12.3.12

  • 9.13 < 9.13.1.10

  • 9.14 < 9.14.1.10

Cisco FTD设备影响版本

 

  • 6.2.2

  • 6.2.3 < 6.2.3.16

  • 6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1

  • 6.4.0 < 6.4.0.9 + Hot Fix

  • 6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)

  • 6.6.0 < 6.6.0.1

    修复建议:
     

    Cisco ASA:

  • 9.6 版本以前升级到某一修复版本

  • 9.6 版本升级到 9.6.4.42 版本

  • 9.7 版本升级到某一修复版本
  • 9.8 版本升级到 9.8.4.20 版本

  • 9.9 版本升级到 9.9.2.74 版本

  • 9.10 版本升级到 9.10.1.42 版本

  • 9.12 版本升级到 9.12.3.12 版本

  • 9.13 版本升级到 9.13.1.10 版本

  • 9.14 版本升级到 9.14.1.10 版本

  • Cisco FTD:

  • 6.2.2 版本升级到某一修复版本

  • 6.2.3 版本升级到 6.2.3.16 版本

  • 6.3.0 版本升级到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本

  • 6.4.0 版本升级到 6.4.0.9(Hot Fix)/6.4.0.10 版本

  • 6.5.0 版本升级到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本

  • 6.6.0 版本升级到 6.6.0.1 版本

填写您的信息获取IT方案
在线咨询
需求提交
请您填写下列信息,并点击提交按钮,耐心等待专家代表的电话回访!
称呼:
电话:
公司:
Email:
QQ:
需求:
400-888-4911
投诉建议
请您认真填写投诉/建议内容,我们将第一时间为您处理!
称呼:
电话:
公司:
Email:
QQ:
建议:
400-888-4911
业务合作
请您填写合作内容,相关工作人员将第一时间与您联系!
称呼:
电话:
公司:
Email:
QQ:
合作内容:
400-888-4911