Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Cisco Adaptive Security Appliance Software < 8.2(5.58) Cisco Adaptive Security Appliance Software < 8.4(7.29) Cisco Adaptive Security Appliance Software < 8.7(1.17) Cisco Adaptive Security Appliance Software < 9.0(4.37) Cisco Adaptive Security Appliance Software < 9.1(6.8) Cisco Adaptive Security Appliance Software < 9.2(4) Cisco Adaptive Security Appliance Software < 9.3(3.5) Cisco Adaptive Security Appliance Software < 9.4(2) Betroffene Plattformen: Cisco Adaptive Security Appliance Software Cisco Adaptive Security Virtual Appliance (ASAv) Cisco ASA 1000V Cloud Firewall Cisco ASA 5500 Cisco ASA 5500-X Cisco ASA AIP Security Services Module Mehrere Schwachstellen in der Cisco Adaptive Security Appliance (ASA) Software für die Produktlinien Cisco ASA 1000V Cloud Firewall, Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module für Cisco Catalyst 6500 Series Switches und Cisco 7600 Series Routers, Cisco Adaptive Security Virtual Appliance (ASAv) und Cisco FirePOWER 9300 ASA Security Module ermöglichen einem entfernten, nicht authentisierten Angreifer Denial-of-Service-Angriffe durchzuführen. Cisco stellt für die betroffenen Software Versionen 8.2 bis 9.4 jeweils Sicherheitsupdates zur Verfügung. Die ebenfalls betroffene Version 7.2 bedarf eines Updates auf die Version 8.2, die Version 9.5 ist nicht betroffen. Patch: Cisco Security Advisory cisco-sa-20150115-asa-dhcp http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150115-asa-dhcp
Patch:
Cisco Security Advisory cisco-sa-20151021-asa-dhcp1
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dhcp1
Patch:
Cisco Security Advisory cisco-sa-20151021-asa-dns1
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dns1
Patch:
Cisco Security Advisory cisco-sa-20151021-asa-dns2
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dns2
Patch:
Cisco Security Advisory cisco-sa-20151021-asa-ike
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-ike
CVE-2015-6327: Schwachstelle in der Cisco Adaptive Security Appliance
ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle in der Cisco Adaptive Security Appliance (ASA) beruht auf
einer fehlerhaften Verarbeitung von ISAKMP(v1)-Paketen und betrifft sowohl
IPv4, als auch IPv6 . Ein entfernter, nicht authentisierter Angreifer kann
die Schwachstelle unter Verwendung von speziell veränderten UDP-Paketen, die
direkt an das btr System gerichtet sein müssen, ausnutzen und einen Neustart
auslösen. Es existiert kein Workaround für diese Schwachstelle.
CVE-2015-6326: Schwachstelle in der Cisco Adaptive Security Appliance
ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle in der Cisco Adaptive Security Appliance (ASA) Software
beruht auf einer fehlerhaften Verarbeitung von DNS-Paketen. Ein entfernter,
nicht authentisierter Angreifer kann auf einem System einen DNS-Request
auslösen, den er mit einer veränderten DNS-Nachricht beantwortet, was in der
Folge einen Neustart des betroffenen Systems bewirkt. Es existiert kein
Workaround für diese Schwachstelle.
CVE-2015-6325: Schwachstelle in der Cisco Adaptive Security Appliance
ermöglicht Denial-of-Service-Angriff
Eine Schwachstelle in der Cisco Adaptive Security Appliance (ASA) Software
beruht auf einer fehlerhaften Verarbeitung von DNS-Paketen. Ein entfernter,
nicht authentisierter Angreifer kann auf einem System, mit Hilfe von
speziell veränderten Paketen, einen DNS-Request auslösen, den er mit einer
veränderten DNS-Nachricht beantwortet, was in der Folge einen Neustart des
betr Systems bewirkt. Es existiert kein Workaround für diese Schwachstelle.
CVE-2015-6324: Schwachstelle in der Cisco Adaptive Security Appliance
ermöglicht Denial-of-Service-Angriff
Die Cisco Adaptive Security Appliance (ASA) enthält eine Schwachstelle, die
auf einer fehlerhaften Überprüfung von weitergeleiteten DHCPv6-Paketen
beruht. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle gegen Systeme, die DHCPv6-Relay aktiviert haben, ausnutzen und
mit Hilfe von veränderten DHCPv6-Paketen einen Neustart auslösen. Es
existiert kein Workaround für diese Schwachstelle.
CVE-2015-0578: Denial-of-Service-Schwachstelle in Cisco ASA Software
Eine Schwachstelle in der DHCP Relais-Funktion der Cisco ASA Software
besteht aufgrund einer unzureichenden Überprüfung von manipulierten
DHCP-Paketen. Die Cisco ASA Software ist nur dann betroffen, wenn sie als
DHCP Version 6 Relais konfiguriert ist. Ein nicht authentifizierter
Angreifer im benachbarten Netzwerk kann die Schwachstelle durch das Senden
manipulierter DHCP Version 6 Pakete für einen Denial-of-Sevice-Angriff
ausnutzen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1648/
Schwachstelle CVE-2015-0578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0578
Cisco Security Advisory cisco-sa-20150115-asa-dhcp:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150115-asa-dhcp
Cisco Security Advisory cisco-sa-20151021-asa-dhcp1:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dhcp1
Cisco Security Advisory cisco-sa-20151021-asa-dns1:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dns1
Cisco Security Advisory cisco-sa-20151021-asa-dns2:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dns2
Cisco Security Advisory cisco-sa-20151021-asa-ike:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-ike
Schwachstelle CVE-2015-6324 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6324
Schwachstelle CVE-2015-6325 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6325
Schwachstelle CVE-2015-6326 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6326
Schwachstelle CVE-2015-6327 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6327
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
