Cisco Adaptive Security Appliance (ASA) に権限昇格の脆弱性

最終更新日: 2018/12/27

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2018/12/19/Cisco-Releases-Security-Updates

概要

Cisco Adaptive Security Appliance (ASA) には、権限昇格の脆弱性があります。結果として、遠隔の第三者が Web 管理インターフェイスを使用して、当該製品から設定ファイルを取得するなどの可能性があります。

対象となるバージョンは以下のとおりです。

– Cisco Adaptive Security Appliance (ASA) 9.4.4.29 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.6.4.20 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.8.3.18 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.9.2.36 より前のバージョン
– Cisco Adaptive Security Appliance (ASA) 9.10.1.7 より前のバージョン

なお、既にサポートが終了している Cisco Adaptive Security Appliance(ASA) 9.4 系より前のバージョン、9.5 系および 9.7 系も、本脆弱性の影響を受けるとのことです。該当のバージョンを使用している場合は、サポート対象のバージョンをご使用ください。
この脆弱性は、該当する製品で Web 管理アクセスが有効な場合にのみ、影響を受けるとのことです。
この問題は、Cisco Adaptive Security Appliance (ASA) を Cisco が提供する修正済みのバージョンに更新することで解決します。詳細は、Cisco が提供する情報を参照してください。

関連文書(英語)

Cisco Security Advisory

Cisco Adaptive Security Appliance Software Privilege Escalation VulnerabilityJScript memory corruption vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181219-asa-privesc

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-12-27」
https://www.jpcert.or.jp/wr/2018/wr185001.html