思科在其Web安全设备中修补了高严重程度缺陷

2021-08-09 19:46:09来源:

思科系统已修复四种拒绝服务漏洞,攻击者可以利用Web安全设备设备正确地停止处理流量。

思科Web安全设备(WSA)是一行安全设备,即检查进出组织的Web流量,以便检测恶意软件,防止数据泄漏,并为用户和应用程序强制执行Internet访问策略。该设备运行一个名为Cisco Asyncos的操作系统。

Cisco星期三修复了四个DOS漏洞之一,源于OS处理特定的HTTP响应代码。攻击者可以发送专门制作的HTTP请求,以便消耗受影响设备的整个内存。

思科在咨询中表示,如果发生这种情况,该设备将不再接受新的传入连接请求。

所有超过9.0.1-162的Cisco Asyncos版本都受到影响。建议用户升级到此版本。版本9.1也不受影响。

另一个DOS漏洞是由于缺乏构成HTTP POST请求的数据包的正确输入验证引起的。可以通过专门制作的HTTP请求来利用该缺陷,并且可以导致代理过程变得无响应和WSA重新加载。

只有Asyncos 8.0版受此漏洞的影响。思科在咨询中表示,用户可以升级到8.0.6-119或9.0.1-162,其中包含所有四个缺陷的补丁。

当通过WSA请求缓存内容的文件范围时,第三个漏洞源于未能释放内存。通过打开多个连接和请求文件范围,攻击者可能导致WSA运行内存并停止传输流量。

ASYNCOS的8.5至8.8版本受到影响,Cisco建议升级至9.0.1-162。

出现第四个漏洞,因为异步无法正确分配HTTP标题的空间和预期的HTTP有效载荷。利用此缺陷可能导致代理程序重新加载和停止流量。

缺陷会影响Asyncos版本8.8和更低。思科已在8.5分支机构和9.0.1-162中修复了版本8.5.3-069的缺陷。

除了WSA缺陷之外,思科还在Cisco统一计算系统(UCS)中央软件的Web界面中修补了适度的严重性跨站点漏洞。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章