UPDATE: DFN-CERT-2019-0873 Cisco Adaptive Security Appliance (ASA) Software, Firepower Threat Defense Software: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

UPDATE: DFN-CERT-2019-0873 Cisco Adaptive Security Appliance (ASA) Software, Firepower Threat Defense Software: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (06.05.19):
Cisco aktualisiert seine Sicherheitshinweise, um darüber zu informieren,
dass Version 6.3.0.3 der Firepower Threat Defense Software jetzt als
Sicherheitsupdate bereitsteht.
Version 1 (02.05.19):
Neues Advisory

Mehrere Schwachstellen in der Cisco Adaptive Security Appliance (ASA)
Software und Firepower Threat Defense Software erlauben einem entfernten,
nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-
Service (DoS)-Angriffe und das Umgehen von Sicherheitsvorkehrungen. Eine
Schwachstelle, die nur die ASA Software betrifft, ermöglicht einem solchen
Angreifer die Durchführung eines Cross-Site-Request-Forgery-Angriffs. Eine
Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer
einen Cross-Site-Scripting-Angriff, eine weitere Schwachstelle ermöglicht
einem nicht authentifizierten Angreifer im benachbarten Netzwerk
Sicherheitsvorkehrungen zu umgehen und zwei Schwachstellen, die nur die FTD
Software betreffen, können von einem lokalen, einfach authentisierten
Angreifer für die Ausführung beliebiger Befehle ausgenutzt werden. Die
Kritikalität mehrerer Schwachstellen wird von Cisco als ‘high’
klassifiziert.

Cisco bestätigt die Schwachstellen für verschiedene Versionen der ASA und
FTD Software auf unterschiedlichen Systemen und stellt die folgenden
Softwareversionen als Sicherheitsupdates bereit, die alle aufgeführten
Schwachstellen adressieren.

Für die Cisco ASA Software werden die Releases 9.4.4.34, 9.6.4.25, 9.8.4,
9.9.2.50 und 9.10.1.17 als Sicherheitsupdates veröffentlicht. Für die Cisco
FTD Software steht derzeit das Release 6.2.3.12 als Sicherheitsupdate
bereit. Für den FTD Versionszweig 6.3.0 steht damit noch kein
Sicherheitsupdate zur Verfügung, allerdings ist für die 19. Kalenderwoche
(ab Montag 06. Mai 2019) die Veröffentlichung der fehlerbereinigten FTD
Softwareversion 6.3.0.3 geplant.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-0873]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben