Vulnerabilidades en Cisco ASA

Cisco ha confirmado la existencia de dos vulnerabilidades en los
dispositivos Cisco ASA (Adaptive Security Appliance).

El primero de los problemas reside en un fallo de validación de entrada
a la hora de procesar componentes URL codificados con Rot13 en la
funcionalidad SSL VPN. Un atacante remoto no autenticado podría
aprovechar esto para ejecutar código script o HTML arbitrario (Cross
Site Scripting) mediante URLs especialmente manipuladas.

Un segundo problema se debe a un fallo de validación de entrada en el
componente WebVPN que podrían permitir a un atacante remoto no
autenticado eludir ciertos mecanismos de protección relativos a la
reescritura HTML y URL. Esto podría ser aprovechado para, manipulando el primer carácter hexadecimal de una URI de Cisco, ejecutar código script o HTML (Cross Site Scripting).

Estos problemas se han corregido en las versiones 8.0.4.34 y 8.1.2.25
del software de Cisco ASA que puede descargarse desde:
http://www.cisco.com/public/sw-center
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT

0 comentarios:

Publicar un comentario