БДУ - Уязвимости

BDU:2020-05275: Уязвимость реализации Clientless SSL VPN (WebVPN) микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю внедрить произвольные HTTP-заголовки

Описание уязвимости	Уязвимость реализации Clientless SSL VPN (WebVPN) микропрограммного обеспечения межсетевых экранов Cisco Firepower Threat Defense (FTD) и Cisco Adaptive Security Appliance (ASA) связана с неприятием мер по нейтрализации последовательностей CRLF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрить произвольные HTTP-заголовки
Вендор	Cisco Systems Inc.
Наименование ПО	Firepower Threat Defense, Adaptive Security Appliance
Версия ПО	от 6.3.0 до 6.3.0.6 (Firepower Threat Defense) от 6.5.0 до 6.5.0.5 (Firepower Threat Defense) от 9.12 до 9.12.3.9 (Adaptive Security Appliance) от 9.13 до 9.13.1.10 (Adaptive Security Appliance) от 9.14 до 9.14.1.10 (Adaptive Security Appliance) от 6.4.0 до 6.4.0.10 (Firepower Threat Defense) от 6.6.0 до 6.6.1 (Firepower Threat Defense) от 9.9 до 9.9.2.80 (Adaptive Security Appliance) от 9.10 до 9.10.1.43 (Adaptive Security Appliance) от 9.6 до 9.6.4.35 (Adaptive Security Appliance) от 9.7 до 9.8.4.20 (Adaptive Security Appliance)
Тип ПО	ПО программно-аппаратного средства, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»), Непринятие мер по нейтрализации последовательностей CRLF (Внедрение CRLF)
Идентификатор типа ошибки	CWE-74 CWE-93
Класс уязвимости	Уязвимость кода
Дата выявления	21.10.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-crlf-inj-BX9uRwSn
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-crlf-inj-BX9uRwSn
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-3561
Прочая информация	Данные уточняются

Последние изменения

11.12.2023 Уязвимость SCADA-системы TRACE MODE, связанная с незашифрованным хранением учетных данных, позволяющая нарушителю изменить права пользователей
11.12.2023 Уязвимость SCADA-системы TRACE MODE, связанная с незашифрованным хранением учетных данных, позволяющая нарушителю произвести подмену хеша пароля от одного пользователя к другому и получить доступ в SCADA-системе
11.12.2023 Уязвимость микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX88U, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга
11.12.2023 Уязвимость микропрограммного обеспечения промышленного принтера Honeywell PM43, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю повысить свои привилегии
11.12.2023 Уязвимость операционной системы QTS, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить произвольный код
11.12.2023 Уязвимость платформы анализа данных Hazelcast, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию
11.12.2023 Уязвимость VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю проводить спуфинг-атаки
11.12.2023 Уязвимость модуля SetupAsusServices программного обеспечения для управления и настройки подключенных устройств Asus Armoury Crate, позволяющая нарушителю повысить свои привилегии
11.12.2023 Уязвимость микропрограммного обеспечения маршрутизаторов ASUS RT-AC66U, связанная с передачей учетных данных в незашифрованном виде, позволяющая нарушителю раскрыть защищаемую информацию
11.12.2023 Уязвимость модулей беспроводной связи 5G MediaTek, связанная с неправильной обработки ошибок, позволяющая нарушителю вызвать отказ в обслуживании

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»