易商讯
当前位置: 首页 » 网络 » 科技 » 正文

云安全日报220616:思科电子邮件安全设备发现身份验证绕过漏洞,需要尽快升级

放大字体  缩小字体 发布日期:2022-06-16 16:19:39
导读

6月15日,思科发布了安全更新,修复了思科电子邮件Web管理器和安全设备中发现的身份验证绕过漏洞。以下是漏洞详情:漏洞详情来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQDCVE-2022-20798 CVSS评分:9.8 严重程度:重要思科安全电子邮件和 Web 管理器

6月15日,思科发布了安全更新,修复了思科电子邮件Web管理器和安全设备中发现的身份验证绕过漏洞。以下是漏洞详情:

漏洞详情

来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD

CVE-2022-20798 CVSS评分:9.8 严重程度:重要

思科安全电子邮件和 Web 管理器(以前称为思科安全管理设备 (SMA) 和思科邮件安全设备 (ESA))的外部身份验证功能中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证并登录到 Web受影响设备的管理界面。

当受影响的设备使用轻量级目录访问协议 (LDAP) 进行外部身份验证时,此漏洞是由于身份验证检查不正确造成的。攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞。成功的利用可能允许攻击者未经授权访问受影响设备的基于 Web 的管理界面。

受影响产品

如果 Cisco ESA 和 Cisco Secure Email and Web Manager(虚拟和硬件设备)运行易受攻击的 Cisco AsyncOS 软件版本并且满足以下情况,则此漏洞会影响它们:

1.设备配置为使用外部身份验证。

2.设备使用LDAP作为身份验证协议

解决方案

安全电子邮件和Web管理器:

思科AsyncOS 11及更早版本, 12, 12.8版本需要升级至可修复版本

思科AsyncOS 13.0版本升级至13.0.0-277可修复

思科AsyncOS 13.6版本升级至13.6.2-090可修复

思科AsyncOS 13.8版本升级至13.8.1-090可修复

思科AsyncOS 14.0版本升级至14.0.0-418可修复

思科AsyncOS 14.1版本升级至14.1.0-250可修复

电子邮件安全设备:

思科AsyncOS 13,12,11及更早版本需要升级至可修复版本

思科AsyncOS 14版本升级至14.0.1-033 可修复

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

 
(文/Techweb)
免责声明
• 
本文云安全日报220616:思科电子邮件安全设备发现身份验证绕过漏洞,需要尽快升级链接:http://www.esxun.cn/internet/65058.html 。本文仅代表作者个人观点,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们,我们将在24小时内处理完毕。如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
 

Copyright © www.esxun.cn 易商讯ALL Right Reserved


冀ICP备2023038169号-3