Cisco Adaptive Security Appliances Software 输入验证错误漏洞

CVE编号

CVE-2019-1945

利用情况

暂无

补丁情况

N/A

披露时间

2019-08-08

漏洞描述

Cisco Adaptive Security Appliances Software（ASA Software）是美国思科（Cisco）公司的一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。 Cisco ASA中的smart tunnel功能存在输入验证错误漏洞，该漏洞源于ASA smart tunnel在客户端设备上创建的本地系统文件分配了较宽松的权限。本地攻击者可通过运行恶意的脚本利用该漏洞在用户未知情的情况下将权限提升至root。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190807-asa-multi

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cisco	adaptive_security_appliance_software	*		Up to (excluding) 9.4.4.37
	运行在以下环境
	系统	alpine_3.11	dia	*		Up to (excluding) 0.97.3-r1
	运行在以下环境
	系统	alpine_3.12	dia	*		Up to (excluding) 0.97.3-r1
	运行在以下环境
	系统	alpine_3.13	dia	*		Up to (excluding) 0.97.3-r1
	运行在以下环境
	系统	alpine_edge	dia	*		Up to (excluding) 0.97.3-r1
	运行在以下环境
	系统	debian_10	dia	*		Up to (excluding) 0.97.3+git20160930-8.1
	运行在以下环境
	系统	debian_11	dia	*		Up to (excluding) 0.97.3+git20160930-9
	运行在以下环境
	系统	debian_9	dia	*		Up to (excluding) 0.97.3+git20160930-6
	运行在以下环境
	系统	debian_sid	dia	*		Up to (excluding) 0.97.3+git20160930-9
	运行在以下环境
	系统	fedora_32	dia	*		Up to (excluding) 0.97.3-16.fc32
	运行在以下环境
	系统	fedora_33	dia	*		Up to (excluding) 0.97.3-16.fc33
	运行在以下环境
	系统	fedora_EPEL_7	dia	*		Up to (excluding) 0.97.3-16.el7
	运行在以下环境
	系统	fedora_EPEL_8	dia	*		Up to (excluding) 0.97.3-16.el8
	运行在以下环境
	系统	opensuse_Leap_15.1	dia	*		Up to (excluding) 0.97.3-lp151.4.3.1
	运行在以下环境
	系统	suse_12_SP4	dia	*		Up to (excluding) 0.97.3-17.4.1
查看完整数据

CVSS3评分 7.8

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-20 输入验证不恰当