Cisco产品两个安全漏洞CVE-2022-20866,CVE-2022-20713

近日,我司监测到Cisco发布安全公告,修复了2个存在于Cisco产品中的安全漏洞。

Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。

 

漏洞详情如下:

 

CVE-2022-20866 思科自适应安全设备软件和 Firepower 威胁防御软件 RSA 私钥泄漏漏洞

漏洞类型:私钥泄漏

风险等级:高危

漏洞描述:此漏洞是由于逻辑错误造成的。攻击者可以通过对目标设备使用 Lenstra 侧信道攻击来利用此漏洞。成功利用该漏洞可能允许攻击者检索 RSA 私钥。

CVE-2022-20713 思科自适应安全设备软件无客户端 SSL VPN 客户端请求走私漏洞

漏洞类型:HTTP请求走私

风险等级:中危

漏洞描述:此漏洞是由于对传递给无客户端 SSL VPN 组件的输入验证错误所致。攻击者通过诱使目标用户访问可以将恶意请求传递到启用了无客户端 SSL VPN 功能的 ASA 设备的网站来利用此漏洞。成功利用该漏洞可能允许攻击者对目标用户进行基于浏览器的攻击,包括跨站点脚本攻击。

 

影响版本:

  • 9.16 <= Cisco ASA < 9.16.3.19
  • 9.17 <= Cisco ASA < 9.17.1.13
  • 9.18 <= Cisco ASA < 9.18.2
  • 7.0.0 <= Cisco FTD < 7.0.4
  • Cisco FTD == 7.1.0
  • 7.2.0 <= Cisco FTD < 7.2.0.1

 

安全版本:

  • Cisco ASA >= 9.16.3.19
  • Cisco ASA >= 9.17.1.13
  • Cisco ASA >= 9.18.2
  • Cisco FTD >= 7.0.4
  • Cisco FTD >= 7.2.0.1

 

修复建议:

Cisco公司已经针对漏洞发布了更新,通过 Cisco (思科)的许可证对相应的系统进行更新,第三方采购用户通过以下链接获得相关支持,Cisco 支持服务如下链接:

https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

发表评论

评论已关闭。

相关文章