Cisco ha confirmado la existencia de dos vulnerabilidades en los
dispositivos Cisco ASA (Adaptive Security Appliance).
El primero de los problemas reside en un fallo de validación de entrada
a la hora de procesar componentes URL codificados con Rot13 en la
funcionalidad SSL VPN. Un atacante remoto no autenticado podría
aprovechar esto para ejecutar código script o HTML arbitrario (Cross
Site Scripting) mediante URLs especialmente manipuladas.
Un segundo problema se debe a un fallo de validación de entrada en el
componente WebVPN que podrían permitir a un atacante remoto no
autenticado eludir ciertos mecanismos de protección relativos a la
reescritura HTML y URL. Esto podría ser aprovechado para, manipulando el primer carácter hexadecimal de una URI de Cisco, ejecutar código script o HTML (Cross Site Scripting).
Estos problemas se han corregido en las versiones 8.0.4.34 y 8.1.2.25
del software de Cisco ASA que puede descargarse desde:
http://www.cisco.com/public/sw-center
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT
Suscribirse a:
Enviar comentarios (Atom)
0 comentarios:
Publicar un comentario