image

Cisco dicht zeer ernstig lek in vpn-functie ASA-software

dinsdag 30 januari 2018, 12:09 door Redactie, 5 reacties

Cisco heeft een zeer ernstig beveiligingslek in de vpn-functie van de ASA-software gedicht waardoor een aanvaller op afstand het systeem volledig had kunnen overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 10 beoordeeld.

De Adaptive Security Appliance (ASA) software is het besturingssysteem van Cisco-firewalls en andere netwerkapparaten. De software beschikt over een vpn-functionaliteit. Wanneer die staat ingeschakeld had een aanvaller door het versturen van xml-pakketten naar de interface van het systeem willekeurige code kunnen uitvoeren en zo het systeem volledig kunnen overnemen. Cisco heeft nu een beveiligingsupdate uitgebracht om het probleem te verhelpen. In de bijbehorende advisory legt Cisco uit hoe de update kan worden verkregen, welke producten kwetsbaar zijn en hoe kan worden gecontroleerd of de vpn-functionaliteit staat ingeschakeld.

Reacties (5)
30-01-2018, 12:16 door Anoniem
security,nl is de laatste tijd wat laat met het rapporteren van vulerabilities, misschien aanhaken op wat OSINT feed?
30-01-2018, 15:55 door Anoniem
Door Anoniem: security,nl is de laatste tijd wat laat met het rapporteren van vulerabilities, misschien aanhaken op wat OSINT feed?

Ik vind ze nu nog wel redelijk op tijd, hij is vannacht onze tijd gereleased.

Maar dit is best een vervelende bug, Goed dat hij direct met patch gefixed is, voordat hij aan grote publiek bekend gemaakt is.
30-01-2018, 17:29 door Tha Cleaner
Door Anoniem: security,nl is de laatste tijd wat laat met het rapporteren van vulerabilities, misschien aanhaken op wat OSINT feed?

Binnen een paar uur gemeld? Hoeveel sneller wil je het hebben? Daarnaast Security is geen vulnerability berichten dienst.
31-01-2018, 09:19 door Anoniem
"Customers should have the product serial number available and be prepared to provide the URL of this advisory as evidence of entitlement to a free upgrade."

Yay, gratis upgrades voor iedereen die zo'n ding heeft zonder supportcontract!
(nu maar hopen dat ze er geen extragratis phonehome in zetten)
06-02-2018, 10:59 door Anoniem
Het artikel impliceert dat de patches eind januari ook al beschikbaar waren. Dit is niet zo. Sommige zijn nog steeds niet beschikbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.