云安全日报220616:思科电子邮件安全设备发现身份验证绕过漏洞,需要尽快升级
6月15日,思科发布了安全更新,修复了思科电子邮件Web管理器和安全设备中发现的身份验证绕过漏洞。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD
CVE-2022-20798 CVSS评分:9.8 严重程度:重要
思科安全电子邮件和 Web 管理器(以前称为思科安全管理设备 (SMA) 和思科邮件安全设备 (ESA))的外部身份验证功能中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证并登录到 Web受影响设备的管理界面。
当受影响的设备使用轻量级目录访问协议 (LDAP) 进行外部身份验证时,此漏洞是由于身份验证检查不正确造成的。攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞。成功的利用可能允许攻击者未经授权访问受影响设备的基于 Web 的管理界面。
受影响产品
如果 Cisco ESA 和 Cisco Secure Email and Web Manager(虚拟和硬件设备)运行易受攻击的 Cisco AsyncOS 软件版本并且满足以下情况,则此漏洞会影响它们:
1.设备配置为使用外部身份验证。
2.设备使用LDAP作为身份验证协议
解决方案
安全电子邮件和Web管理器:
思科AsyncOS 11及更早版本, 12, 12.8版本需要升级至可修复版本
思科AsyncOS 13.0版本升级至13.0.0-277可修复
思科AsyncOS 13.6版本升级至13.6.2-090可修复
思科AsyncOS 13.8版本升级至13.8.1-090可修复
思科AsyncOS 14.0版本升级至14.0.0-418可修复
思科AsyncOS 14.1版本升级至14.1.0-250可修复
电子邮件安全设备:
思科AsyncOS 13,12,11及更早版本需要升级至可修复版本
思科AsyncOS 14版本升级至14.0.1-033 可修复
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
理想汽车2022Q2净亏损6.4亿元 同比增亏172.2%
理想汽车2022年上半年净亏损6.26亿元 同比扩大16.7%
斗鱼Q2营收18亿元同比下滑21.6% 调整后净利润2360万元同比扭亏
阅文集团2022年上半年营收40.87亿元 同比下滑5.9%
分析师预计iPhone 14今年生产9100万部 供应链没有大问题
美国收紧对半导体及燃气涡轮引擎相关技术的出口管制
梅赛德斯-奔驰与宁德时代扩大电池供应合作
分析师下调iPhone 14 Pro机身内存预期:仍是128GB起步 不会有2TB版
Cadence Design Systems执行董事长陈立武将加入英特尔董事会
更多
- 微盟发布2022年中报 收入8.996亿元
- 理想汽车2022Q2净亏损6.4亿元 同比增亏172.2%
- 斗鱼Q2营收18亿元同比下滑21.6% 调整后净利润2360万元同比扭亏
- 阅文集团2022年上半年营收40.87亿元 同比下滑5.9%
- 28家企业晋级“创客北京2022”创新创业大赛京东专项赛 京东科技提供专属加油包
- 安森美新罕布什尔州碳化硅 (SiC)工厂的落成 SiC产能同比增加五倍
- 特斯拉陶琳:上海超级工厂的供应链本地化率已经超过95%
- 1688将重点支持四类工业品:新材料、新能源、节能环保、智能制造
- 优酷《这就是街舞5》开播 上线一小时市占率近半
- 央视:部分芯片价格“雪崩” 高通降价又砍单 三星电子去库存