[TLP:CLEAR] Cisco Adaptive Security Appliance a Firepower Threat Defense Software opravují 3 zranitelnosti

Cisco Adaptive Security Appliance (ASA) a Firepower Threat Defense (FTD) Software opravují 3 zranitelnosti [1][2][3]. Opravené verze lze získat na [4], kde je třeba na první stránce zadat typ a verzi produktu. Na další stránce je třeba vybrat všechna posouzení dopadů a všechna bezpečnostní doporučení. Na poslední stránce je nutné vybrat nejvyšší ze zobrazených opravených verzí a aktualizovat na ni postižené zařízení.

Cisco ASA a Firepower - local command execution (CVE-2024-20358) CVSS 6.0 (Medium)

Autentizovanému lokálnímu útočníkovi je umožněno spustit škodlivý příkaz v základním operačním systému Linux jako root pomocí obnovy pozměněného záložního souboru [3].

Zranitelnost se nachází v produktech:

  • Cisco ASA
  • Cisco FTD

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 24. 4. 2024.

Cisco ASA a Firepower - DoS (CVE-2024-20353) CVSS 8.6 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli neúplné kontrole chyb při zpracování hlavičky HTTP umožněno odeslat upravený požadavek HTTP na cílový webový server v zařízení a vykonat DoS útok při jeho opětovném načtení [1].

Zranitelnost se nachází v produktech:

  • Cisco ASA
  • Cisco FTD

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 24. 4. 2024.

Cisco ASA a Firepower - local code execution (CVE-2024-20359) CVSS 6.0 (Medium)

Autentizovanému lokálnímu útočníkovi je prostřednictvím zkopírování škodlivého souboru do souborového systému "disk0:" umožněno vykonat vzdálené spuštění kódu s oprávněním root [2].

Zranitelnost se nachází v produktech:

  • Cisco ASA
  • Cisco FTD

CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 24. 4. 2024.

Publikovala Michaela Mačalíková dne 29. 4. 2024.

CESNET CERTS Logo