Cisco AsyncOS Software 'Safelist/Blocklist (SLBL)'函数远程代码执行漏洞

CVE编号

CVE-2014-2119

利用情况

暂无

补丁情况

N/A

披露时间

2014-03-21
漏洞描述
Cisco IronPort系列产品是广泛使用的邮件加密网关, AsyncOS是该产品所使用的操作系统。

用于Email Security Appliance (ESA)和Cisco Content Security Management Appliance (SMA)的Cisco AsyncOS软件'Safelist/Blocklist (SLBL)'函数存在一个安全漏洞,允许远程通过验证攻击者以root用户上下文执行任意代码。
解决建议
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=3889&signatureSubId=0&softwareVersion=6.0&releaseVersion=S778
参考链接
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 cisco email_security_appliance_firmware - -
运行在以下环境
系统 cisco ironport_asyncos * Up to
(including)
7.6.2-201
运行在以下环境
系统 cisco ironport_asyncos * Up to
(including)
7.9.1-039
运行在以下环境
系统 cisco ironport_asyncos 8.0 -
运行在以下环境
系统 cisco ironport_asyncos 8.0.1 -
运行在以下环境
系统 cisco ironport_asyncos 8.1 -
运行在以下环境
硬件 cisco content_security_management_appliance - -
CVSS3评分
8.5
  • 攻击路径
    网络
  • 攻击复杂度
    N/A
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    完全地
  • 保密性
    完全地
  • 完整性
    完全地
AV:N/AC:M/Au:S/C:C/I:C/A:C
CWE-ID 漏洞类型
CWE-264 权限、特权和访问控制
阿里云安全产品覆盖情况