BDU:2018-00188: Уязвимость функции VPN Secure Sockets Layer (SSL) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA), позволяющая нарушителю выполнить произвольный код и получить полный контроль над системой

Описание уязвимости Уязвимость функции VPN Secure Sockets Layer (SSL) микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код и получить полный контроль над системой
Вендор Cisco Systems Inc.
Наименование ПО Adaptive Security Appliance, Firepower Threat Defense
Версия ПО 8 (Adaptive Security Appliance), от 9.0 до 9.1.7.23 (Adaptive Security Appliance), от 9.2 до 9.2.4.27 (Adaptive Security Appliance), от 9.3 до 9.4.4.16 (Adaptive Security Appliance), от 9.5 до 9.6.4.3 (Adaptive Security Appliance), от 9.7 до 9.7.1.21 (Adaptive Security Appliance), от 9.8 до 9.8.2.20 (Adaptive Security Appliance), от 9.9 до 9.9.1.2 (Adaptive Security Appliance), 6.1.0 (Firepower Threat Defense), 6.2.0 (Firepower Threat Defense), 6.2.1 (Firepower Threat Defense), 6.2.2 (Firepower Threat Defense), 6.0.1 (Firepower Threat Defense), до 9.1.7.23 (Adaptive Security Appliance), от 9.2.0 до 9.2.4.27 (Adaptive Security Appliance), от 9.3.0 до 9.4.4.16 (Adaptive Security Appliance), от 9.5.0 до 9.6.4.3 (Adaptive Security Appliance), от 9.7.0 до 9.7.1.21 (Adaptive Security Appliance), от 9.8.0 до 9.8.2.20 (Adaptive Security Appliance), от 9.9.0 до 9.9.1.2 (Adaptive Security Appliance), 6.0.0 (Firepower Threat Defense)
Тип ПО ПО сетевого программно-аппаратного средства, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Повторное освобождение
Идентификатор типа ошибки CWE-415
Класс уязвимости Уязвимость кода
Дата выявления 28.01.2018
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)
Возможные меры по устранению уязвимости
Использование рекомендаций:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -