首頁 > 安全研究 > 安全通報 > 安全通告

思科兩個DoS安全漏洞安全通告

發布時間 2019-05-08

漏洞編號和級別



CVE編號:CVE-2019-1721,危險級別:中級,CVSS分值:廠商自評:7.7,官方:6.5

CVE編號:CVE-2019-1694,危險級別:高級,CVSS分值:廠商自評:8.6,官方:8.6



影響版本及產品



CVE-2019-1721


Cisco Expressway Series和Cisco TelePresence Video Communication Server X12.5.1之前版本


CVE-2019-1694


運行Cisco ASA Software或FTD Software的如下產品:


3000 Series Industrial Security Appliances (ISAs)
ASA 5500-X Series Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series
Firepower 4100 Series
Firepower 9300 Security Appliance

FTD Virtual (FTDv)



漏洞概述



近日,思科修復兩個DoS漏洞:


CVE-2019-1721


Cisco Expressway Series和Cisco TelePresence Video Communication Server(VCS)都是美國思科(Cisco)公司的產品。前者是一款用于統一通信的高級協作網關。后者是一款視頻通信服務器。


Cisco Expressway Series和Cisco TelePresence VCS X12.5.1之前版本中的電話簿功能存在輸入驗證錯誤漏洞,該漏洞源于網絡系統或產品未對輸入的數據進行正確的驗證。成功利用可能會使攻擊者耗盡CPU資源,從而導致DoS狀況。


CVE-2019-1694


Cisco Adaptive Security Appliances(ASA,自適應安全設備)Software和Cisco Firepower Threat Defense(FTD)Software都是由美國思科(Cisco)公司開發的程序。前者是一套運行于防火墻中的操作系統。后者是一套提供下一代防火墻服務的統一軟件。


Cisco ASA Software和FTD Software中的TCP處理引擎存在輸入驗證錯誤漏洞。該漏洞是由于TCP流量處理不當造成的。使用配置用于檢查的TCP協議的攻擊者可以通過受影響的設備以高速率發送特定的數據包序列來利用此漏洞。成功利用可能允許攻擊者在重新啟動時暫時中斷通過設備的流量。



漏洞驗證



暫無POC/EXP。



修復建議



目前廠商已發布升級補丁以修復漏洞:


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-es-tvcs-dos


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-frpwrtd-dos



參考鏈接



https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190417-es-tvcs-dos


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-frpwrtd-dos


上一篇 下一篇