我指的是这里报告的漏洞:
这是在某些特定于 Cisco 的专有代码中,还是在其他产品也可能使用的某些底层 SSL/VPN 库中?如果我正在运行来自非 Cisco 供应商的一些 SSL-VPN 产品,我应该担心这个漏洞吗?
思科漏洞是思科特有的还是某些常用库中的漏洞?
信息安全
tls
虚拟专用网
脆弱性
思科
2021-08-28 04:13:49
3个回答
思科自适应安全设备 (ASA) 软件的安全套接字层 (SSL) VPN 功能中的漏洞可能允许未经身份验证的远程攻击者重新加载受影响的系统或远程执行代码。
没有提到通用库中的漏洞。此外,查看该 CVE 上受影响的产品/型号列表,据我所知,我没有看到任何运行某种 Linux 的设备。
CVE 2018-0101完全是特定于思科的。简而言之; 存在一个问题,即发送某个 XML 数据包会导致 ASA 两次释放一大块内存,从而导致任意行为。正如谈话中所述,这不是IKE 中的错误。
以下是围绕此漏洞的一些有用资源的链接,包括 Cedric 与他在NCCGroup的同事一起发现此漏洞的演讲。
如果它是一个开源库或通用库,CVE 将附加到库而不是使用它的 Cisco 项目。
其它你可能感兴趣的问题