2019-0873: Cisco Adaptive Security Appliance (ASA) Software, Firepower Threat Defense Software: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe
Historie:
- Version 1 (2019-05-02 19:45)
- Neues Advisory
- Version 2 (2019-05-06 12:38)
- Cisco aktualisiert seine Sicherheitshinweise, um darüber zu informieren, dass Version 6.3.0.3 der Firepower Threat Defense Software jetzt als Sicherheitsupdate bereitsteht.
Betroffene Software
Sicherheit
Systemsoftware
Betroffene Plattformen
Hardware
Netzwerk
Cisco
Beschreibung:
Mehrere Schwachstellen in der Cisco Adaptive Security Appliance (ASA) Software und Firepower Threat Defense Software erlauben einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Umgehen von Sicherheitsvorkehrungen. Eine Schwachstelle, die nur die ASA Software betrifft, ermöglicht einem solchen Angreifer die Durchführung eines Cross-Site-Request-Forgery-Angriffs. Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer einen Cross-Site-Scripting-Angriff, eine weitere Schwachstelle ermöglicht einem nicht authentifizierten Angreifer im benachbarten Netzwerk Sicherheitsvorkehrungen zu umgehen und zwei Schwachstellen, die nur die FTD Software betreffen, können von einem lokalen, einfach authentisierten Angreifer für die Ausführung beliebiger Befehle ausgenutzt werden. Die Kritikalität mehrerer Schwachstellen wird von Cisco als 'high' klassifiziert.
Cisco bestätigt die Schwachstellen für verschiedene Versionen der ASA und FTD Software auf unterschiedlichen Systemen und stellt die folgenden Softwareversionen als Sicherheitsupdates bereit, die alle aufgeführten Schwachstellen adressieren.
Für die Cisco ASA Software werden die Releases 9.4.4.34, 9.6.4.25, 9.8.4, 9.9.2.50 und 9.10.1.17 als Sicherheitsupdates veröffentlicht. Für die Cisco FTD Software steht derzeit das Release 6.2.3.12 als Sicherheitsupdate bereit. Für den FTD Versionszweig 6.3.0 steht damit noch kein Sicherheitsupdate zur Verfügung, allerdings ist für die 19. Kalenderwoche (ab Montag 06. Mai 2019) die Veröffentlichung der fehlerbereinigten FTD Softwareversion 6.3.0.3 geplant.
Schwachstellen:
CVE-2018-15388
Schwachstelle in Cisco ASA und FTD Software ermöglicht Denial-of-Service-AngriffCVE-2018-15462
Schwachstelle in Cisco FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1687
Schwachstelle in Cisco ASA und FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1693
Schwachstelle in Cisco ASA und FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1694
Schwachstelle in Cisco ASA und FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1695
Schwachstelle in Cisco ASA und FTD Software ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-1696 CVE-2019-1704
Schwachstellen in Cisco FTD Software ermöglichen Denial-of-Service-AngriffeCVE-2019-1697
Schwachstelle in Cisco ASA und FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1699
Schwachstelle in Cisco FTD Software ermöglicht KommandoausführungCVE-2019-1701
Schwachstelle in Cisco ASA und FTD Software ermöglicht Cross-Site-Scripting-AngriffCVE-2019-1703
Schwachstelle in Cisco FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1705
Schwachstelle in Cisco ASA Software ermöglicht Denial-of-Service-AngriffCVE-2019-1706
Schwachstelle in Cisco ASA Software ermöglicht Denial-of-Service-AngriffCVE-2019-1708
Schwachstelle in Cisco ASA und FTD Software ermöglicht Denial-of-Service-AngriffCVE-2019-1709
Schwachstelle in Cisco FTD Software ermöglicht KommandoausführungCVE-2019-1713
Schwachstelle in Cisco ASA Software ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2019-1714
Schwachstelle in Cisco ASA und FTD Software ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-1715
Schwachstelle in Cisco ASA und FTD Software ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.