GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Cisco 10月多个安全缝隙

颁布功夫 2021-10-28

0x00 缝隙概述

2021年10月27日，Cisco颁布安全布告，建复了Cisco Firepower 威胁防御 (FTD)、Cisco思科自适应安全设备 (ASA)和Firepower 治理中心 (FMC)中的多个安全缝隙。

0x01 缝隙详情

在本次建复的高危缝隙中，9个为回绝服务缝隙，3个为号令注入缝隙，以及1个目录遍历缝隙：

l CVE-2021-40116：多个 Cisco 产品 Snort 规定回绝服务缝隙（CVSS评分：8.6）

l CVE-2021-34783：思科自适应安全设备软件和 Firepower 威胁防御软件基于软件的 SSL/TLS 回绝服务缝隙（CVSS评分：8.6）

l CVE-2021-34781：思科 Firepower 威胁防御软件 SSH 衔接回绝服务缝隙（CVSS评分：8.6）

l CVE-2021-34752、CVE-2021-34755和CVE-2021-34756：思科 Firepower 威胁防御软件号令注入缝隙（CVSS评分：7.8）

l CVE-2021-34762：思科 Firepower 治理中心软件身份验证目录遍历缝隙（CVSS评分：8.1）

l CVE-2021-40117：思科自适应安全设备软件和 Firepower 威胁防御软件 SSL/TLS 回绝服务缝隙（CVSS评分：8.6）

l CVE-2021-1573、CVE-2021-34704和CVE-2021-40118：思科自适应安全设备软件和 Firepower 威胁防御软件 Web 服务回绝服务缝隙（CVSS评分：8.6）

l CVE-2021-34792：思科自适应安全设备软件和 Firepower 威胁防御软件资源耗尽回绝服务缝隙（CVSS评分：8.6）

l CVE-2021-34793：思科自适应安全设备软件和 Firepower 威胁防御软件通明模式回绝服务缝隙（CVSS评分：8.6）

其中，CVE-2021-34755 、CVE-2021-34756和CVE-2021-34752都是Cisco FTD 中的号令注入缝隙。由于对用户提供的号令参数验证不及，攻击者能够提反目意输入来利用这些缝隙，前2个缝隙能够导致经过身份验证的本地攻击者以root权限在受影响设备的系统上执行肆意号令，CVE-2021-34752能够导致经过身份验证且拥有治理权限的本地攻击者以root权限在受影响设备的系统上执行肆意号令。

CVE-2021-34762是由于思科 Firepower 治理中心 (FMC) 基于Web 的治理界面对 HTTPS URL 的输入验证不及，经过身份验证的远程攻击者能够通过向受影响的设备发送蕴含目录遍历字符序列的恶意 HTTPS 要求来利用此缝隙，最终能够在设备上读取或写入肆意文件。

0x02 措置建议

目前Cisco已经颁布了有关补丁，建议受影响的用户实时升级更新。

具体受影响产品及其版本和建复版本信息详见Cisco官方安全布告：

https://tools.cisco.com/security/center/publicationListing.x

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-cmdinject-FmzsLN8

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-dir-traversal-95UyW5tk

0x04 更新版本

版本	日期	批改内容
V1.0	2021-10-28	初次颁布

0x05 附录

GA黄金甲简介

GA黄金甲公司成立于1996年，并于2010年6月23日在深交所中幼板正式挂牌上市，是国内最具实力的信息安全产品和安全治理平台、安全服务与解决规划的领航企业之一。

公司总部位于北京市中关村软件园，在全国各省、视注自治区设立分支机构六十多个，占有覆盖全国的销售系统、渠路系统和技术支持系统；并在华北、华东、西南和华南布局四大研发中心，别离为北京研发总部、上海研发中心、成都研发中心和广州研发中心。

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

关于GA黄金甲

GA黄金甲安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。

关注以下公家号，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】