2020-2308: Cisco Adaptive Security Appliance (ASA), Cisco Firepower Management Center (FMC), Cisco Firepower Threat Defense (FTD) Software, Cisco FXOS Software: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Request-Forgery-Angriff
Historie:
- Version 1 (2020-10-22 18:05)
- Neues Advisory
- Version 2 (2020-10-23 11:51)
- Cisco aktualisiert den Sicherheitshinweis, um darauf hinzuweisen, dass eine bisher nicht aufgeführte Denial-of-Service (DoS)-Schwachstelle die Versionszweige 9.13 und 9.14 von Cisco ASA in den Versionen betrifft, die zur Behebung der Schwachstellen CVE-2020-3580, CVE-2020-3581, CVE-2020-3582 und CVE-2020-3583 empfohlen wurden (CVE-2020-27124). Als Sicherheitsupdate steht Cisco Adaptive Security Appliance (ASA) 9.14.1.15 bereit. Zudem kündigt Cisco Cisco ASA in Version 9.13.1.15 als Sicherheitsupdate für November an.
- Version 3 (2020-10-28 11:04)
- Cisco stellt Cisco Adaptive Security Appliance (ASA) 9.13.1.16 als Sicherheitsupdate bereit, um die Schwachstelle CVE-2020-27124 zu beheben.
- Version 4 (2021-04-30 11:57)
- Cisco informiert darüber, dass die Schwachstelle CVE-2020-3581 bisher nur unzureichend behoben wurde. Als Sicherheitsupdates stehen für Cisco ASA Software die Versionen 9.8.4.34, 9.9.2.85, 9.12.4.13, 9.13.1.21, 9.14.2.8 und 9.15.1.15 zur Verfügung. Für Cisco FTD wird Version 6.4.0.12 für Mai angekündigt und die Versionen 6.6.4 und 6.7.0.2 stehen bereit.
- Version 5 (2021-06-29 11:58)
- Cisco weist in einer Aktualisierung des Sicherheitshinweises cisco-sa-asaftd-xss-multiple-FCB3vPZe darauf hin, dass ein Exploit für die Schwachstelle CVE-2020-3580 öffentlich bekannt ist. Die Schwachstelle wird aktuell aktiv ausgenutzt.
Betroffene Software
Netzwerk
Sicherheit
Systemsoftware
Betroffene Plattformen
Hardware
Cisco
Beschreibung:
Mehrere Schwachstellen in Cisco ASA, FTD, FMC und FXOS ermöglichen einem sowohl entfernten als auch lokalen Angreifer, der in manchen Fällen über übliche Benutzerrechte oder erweiterte Rechte verfügt, das Durchführen eines Cross-Site-Request-Forgery (CSRF)-Angriffs, das Durchführen von Denial-of-Service (DoS)-Angriffen, das Ausführen beliebigen Programmcodes zum Teil mit 'root'-Rechten, das Durchführen eines Directory-Traversal- und eines Man-in-the-Middle-Angriffs, das Eskalieren von Privilegien, das Durchführen von Cross-Site-Scripting (XSS)-Angriffen, das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Darstellen falscher Informationen und eine CRLF-Injektion. Eine weitere Schwachstelle ermöglicht einem Angreifer im benachbarten Netzwerk ebenfalls das Durchführen eines Denial-of-Service-Angriffs. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers und erfolgreiche Angriffe können Einfluss auf andere Komponenten betroffener Systeme haben.
Cisco informiert über die Schwachstellen auf verschiedenen Hardware Plattformen und veröffentlicht Cisco Adaptive Security Appliance (ASA) in den Versionen 9.6.4.45, 9.8.4.29, 9.9.2.80, 9.10.1.44, 9.12.4.4, 9.13.1.13 und 9.14.1.30, Cisco Firepower Management Center (FMC) in der Version 6.6.1, Cisco Firepower eXtensible Operation System (FXOS) in den Versionen 2.4.1.268, 2.6.1.214, 2.7.1.131 und 2.8.1.125 und Cisco Firepower Threat Defense (FTD) in den Versionen 6.4.0.10 und 6.6.1, um die Schwachstellen zu beheben. Zusätzlich kündigt Cisco für Cisco Firepower Threat Defense (FTD) die aktualisierten Versionen 6.5.0.5 (Herbst 2020) und 6.3.0.6 (Herbst 2020) zur Behebung der Schwachstellen an.
Schwachstellen:
CVE-2020-27124
Schwachstelle in Cisco Adaptive Security Appliance (ASA) ermöglicht Denial-of-Service-AngriffCVE-2020-3304
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3317
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3352
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-3373
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3410
Schwachstelle in Cisco Firepower Management Center (FMC) ermöglicht PrivilegieneskalationCVE-2020-3436
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3455
Schwachstelle in FXOS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-3456
Schwachstelle in FXOS ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2020-3457
Schwachstelle in FXOS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-3458
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-3459
Schwachstelle in FXOS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-3499
Schwachstelle in Cisco Firepower Management Center (FMC) ermöglicht Denial-of-Service-AngriffCVE-2020-3514
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-3515 CVE-2020-3553
Schwachstellen in Cisco Firepower Management Center (FMC) ermöglichen Cross-Site-Scripting-AngriffeCVE-2020-3528
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3529
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3533
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3549
Schwachstelle in Cisco Firepower Management Center (FMC) und Cisco Firepower Threat Defense (FTD) ermöglicht Man-in-the-Middle-AngriffCVE-2020-3550
Schwachstelle in Cisco Firepower Management Center (FMC) und Cisco Firepower Threat Defense (FTD) ermöglicht Directory-Traversal-AngriffCVE-2020-3554
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3555
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3557
Schwachstelle in Cisco Firepower Management Center (FMC) ermöglicht Denial-of-Service-AngriffCVE-2020-3558
Schwachstelle in Cisco Firepower Management Center (FMC) ermöglicht Darstellen falscher InformationenCVE-2020-3561
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht CRLF-InjektionCVE-2020-3562
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3563
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3564
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-3565
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-3571
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3572
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3577
Schwachstelle in Cisco Firepower Threat Defense (FTD) ermöglicht Denial-of-Service-AngriffCVE-2020-3578
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) emöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-3580 CVE-2020-3581 CVE-2020-3582 CVE-2020-3583
Schwachstellen in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglichen Cross-Site-Scripting-AngriffeCVE-2020-3585
Schwachstelle in Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD) ermöglicht Ausspähen von InformationenCVE-2020-3599
Schwachstelle in Cisco Adaptive Security Appliance (ASA) ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.