Cisco ASAのクライアントレスSSL VPN機能CIFSにヒープオーバーフローの脆弱性

2017年2月28日

ニュースソース:Cisco Security

以下の文章は、2017年2月8日に公開された Cisco ASA Clientless SSL VPN CIFS Heap Overflow Vulnerability を要約したものです。


Cisco ASAソフトウェアのクライアントレスSSL VPN機能のCIFS(Common Internet Filesystem)コードの脆弱性により、管理者権限でリモート攻撃を受けヒープオーバーフローを引き起こす可能性があります。
ユーザー入力の検証が不十分なことによる脆弱性が存在し、この脆弱性を悪用する攻撃者により、遠隔地からシステムのリロードやコードの実行が行われるなどの影響が生じます。

注:この現象は、影響を受けるシステムに向けられたトラフィック、もしくはIPv4、IPv6トラフィックによって引き起こされる可能性があります。
ルーテッドファイアウォールモード、シングルコンテキストモード、マルチコンテキストモードで構成されたシステムが影響を受けます。
攻撃者が有効なTCP接続やクライアントレスSSL VPNポータルへのログイン資格を持っている場合に危険性が生じます。

この脆弱性に対処するソフトウェアアップデート、回避策のアドバイザリーは、以下のページをご覧ください。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170208-asa

影響のある製品
以下のバージョンで影響があります。

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco ASA for Firepower 9300 Series
  • Cisco ASA for Firepower 4100 Series
  • Cisco ISA 3000 Industrial Security Appliance