阿里云漏洞库

漏洞描述

Cisco自适应安全设备（ASA）软件和Cisco Firepower威胁防御（FTD）软件的Internet密钥交换版本1（IKEv1）功能中的漏洞可能允许未经身份验证的远程攻击者触发受影响设备的重新加载，从而导致拒绝服务（DoS）条件。该漏洞是由于系统内存管理不当造成的。攻击者可以通过将恶意IKEv1通信发送到受影响的设备来利用此漏洞。攻击者不需要有效的凭据即可对VPN会话进行身份验证，攻击者的源地址也不需要匹配应用于受影响设备的入口接口的加密映射中的对等语句。利用漏洞可以使攻击者耗尽系统内存资源，从而重新加载受影响的设备。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ftd-ikev1-dos

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	cisco	adaptive_security_appliance_software	*	From (including) 9.10	Up to (excluding) 9.10.1.30
	运行在以下环境
	应用	cisco	adaptive_security_appliance_software	*	From (including) 9.12	Up to (excluding) 9.12.2.5
	运行在以下环境
	应用	cisco	adaptive_security_appliance_software	*	From (including) 9.7	Up to (excluding) 9.8.4.10
	运行在以下环境
	应用	cisco	adaptive_security_appliance_software	*	From (including) 9.9	Up to (excluding) 9.9.2.47
	运行在以下环境
	应用	cisco	firepower_threat_defense	*	From (including) 6.2.0	Up to (excluding) 6.2.3.11
	运行在以下环境
	应用	cisco	firepower_threat_defense	*	From (including) 6.3.0	Up to (excluding) 6.3.0.2

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

无
可用性

高
保密性

无
完整性

无

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Cisco ASA/Firepower Threat Defense IKEv1 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况