ニュースソース:Cisco Security
以下の文章は、2017年2月8日に公開された Cisco ASA Clientless SSL VPN CIFS Heap Overflow Vulnerability を要約したものです。
Cisco ASAソフトウェアのクライアントレスSSL VPN機能のCIFS(Common Internet Filesystem)コードの脆弱性により、管理者権限でリモート攻撃を受けヒープオーバーフローを引き起こす可能性があります。
ユーザー入力の検証が不十分なことによる脆弱性が存在し、この脆弱性を悪用する攻撃者により、遠隔地からシステムのリロードやコードの実行が行われるなどの影響が生じます。
注:この現象は、影響を受けるシステムに向けられたトラフィック、もしくはIPv4、IPv6トラフィックによって引き起こされる可能性があります。
ルーテッドファイアウォールモード、シングルコンテキストモード、マルチコンテキストモードで構成されたシステムが影響を受けます。
攻撃者が有効なTCP接続やクライアントレスSSL VPNポータルへのログイン資格を持っている場合に危険性が生じます。
この脆弱性に対処するソフトウェアアップデート、回避策のアドバイザリーは、以下のページをご覧ください。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170208-asa
影響のある製品
以下のバージョンで影響があります。
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco ASA for Firepower 9300 Series
- Cisco ASA for Firepower 4100 Series
- Cisco ISA 3000 Industrial Security Appliance