创载网络
17+年IT解决方案服务商
需求提交
请您填写下列信息,并点击提交按钮,耐心等待专家代表的电话回访!
400-888-4911【漏洞发布】Cisco ASA/FTD设备任意文件读取漏洞
发布时间:2020-07-27
近日,Cisco针对CVE-2020-3452发布了安全漏洞通告,深圳市网络与信息安全信息通报中心也公告了此漏洞,CVE-2020-3452是影响Adaptive Security Appliance(ASA)和思科Firepower Threat Defense(FTD)软件的目录遍历漏洞,CVSS评分7.5。
思科Adaptive Security Appliance(ASA)和思科Firepower Threat Defense(FTD)软件的 web 管理界面接口存在漏洞,允许未经身份验证的攻击者可通过向目标设备的Web服务器发送特制请求包读取Web目录下的文件。该漏洞无需交互、不需要身份认证,成功利用该漏洞的攻击者可以查看WebVpn配置信息、书签、Web Cookies、部分Web内容、HTTP URLs等敏感信息。不过攻击者只能查看Web目录下的文件,无法通过该漏洞访问Web目录之外的文件。
影响范围:
Cisco ASA,Cisco FTD
思科Adaptive Security Appliance(ASA)和思科Firepower Threat Defense(FTD)软件的 web 管理界面接口存在漏洞,允许未经身份验证的攻击者可通过向目标设备的Web服务器发送特制请求包读取Web目录下的文件。该漏洞无需交互、不需要身份认证,成功利用该漏洞的攻击者可以查看WebVpn配置信息、书签、Web Cookies、部分Web内容、HTTP URLs等敏感信息。不过攻击者只能查看Web目录下的文件,无法通过该漏洞访问Web目录之外的文件。
影响范围:
Cisco ASA,Cisco FTD
Cisco ASA 设备影响版本:
-
<9.6.1
-
9.6 < 9.6.4.42
-
9.71
-
9.8 < 9.8.4.20
-
9.9 < 9.9.2.74
-
9.10 < 9.10.1.42
-
9.12 < 9.12.3.12
-
9.13 < 9.13.1.10
-
9.14 < 9.14.1.10
Cisco FTD设备影响版本:
-
6.2.2
-
6.2.3 < 6.2.3.16
-
6.3.0 < Migrate to 6.4.0.9 + Hot Fix or to 6.6.0.1
-
6.4.0 < 6.4.0.9 + Hot Fix
-
6.5.0 < Migrate to 6.6.0.1 or 6.5.0.4 + Hot Fix (August 2020)
-
6.6.0 < 6.6.0.1
修复建议:
Cisco ASA:
-
9.6 版本以前升级到某一修复版本
-
9.6 版本升级到 9.6.4.42 版本
- 9.7 版本升级到某一修复版本
-
9.8 版本升级到 9.8.4.20 版本
-
9.9 版本升级到 9.9.2.74 版本
-
9.10 版本升级到 9.10.1.42 版本
-
9.12 版本升级到 9.12.3.12 版本
-
9.13 版本升级到 9.13.1.10 版本
-
9.14 版本升级到 9.14.1.10 版本
-
Cisco FTD:
-
6.2.2 版本升级到某一修复版本
-
6.2.3 版本升级到 6.2.3.16 版本
-
6.3.0 版本升级到 6.3.0.5(Hot Fix)/6.3.0.6/6.4.0.9(Hot Fix)/6.6.0.1 版本
-
6.4.0 版本升级到 6.4.0.9(Hot Fix)/6.4.0.10 版本
-
6.5.0 版本升级到 6.5.0.4(Hot Fix)/6.5.0.5/6.6.0.1 版本
-
6.6.0 版本升级到 6.6.0.1 版本
市场聚焦
填写您的信息获取IT方案
