Vulnerabilità: CVE-2019-12677

Una vulnerabilità nel Secure Sockets Layer (SSL) funzione VPN di Cisco Adaptive Security Appliance (ASA) Software potrebbe consentire a un autenticato, attaccante remoto di causare un Denial of Service (DoS) condizione che impedisce la creazione di nuovi SSL / Transport Layer Security ( TLS) a un dispositivo colpito. La vulnerabilità è dovuta ad un’errata manipolazione di stringhe con codifica Base64. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità con l’apertura di molte sessioni VPN SSL ad un dispositivo interessato. L’aggressore avrebbe bisogno di avere le credenziali utente valide sul dispositivo interessato di sfruttare questa vulnerabilità. Un successo exploit potrebbe consentire all’utente malintenzionato di sovrascrivere una posizione speciale memoria di sistema, che finirà per determinare errori di allocazione di memoria per nuovo SSL sessioni / TLS al dispositivo, impedendo successo creazione di queste sessioni. Una ricarica del dispositivo è necessario per recuperare da questa condizione. Stabilito connessioni SSL / TLS per il dispositivo e le connessioni SSL / TLS attraverso il dispositivo non sono interessati. Nota: Sebbene questa vulnerabilità è nella funzionalità VPN SSL, lo sfruttamento con successo questa vulnerabilità interessa tutte le sessioni nuovo SSL / TLS al dispositivo, incluse le sessioni di gestione.


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ssl-vpn-dos
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12677


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi