思科在其电子邮件安适设备中修复了严重的DoS缝隙

时间:2021-07-15 18:07:12

思科在其许多产品中插入了大量安适缝隙,此中包孕两个缝隙(一个是关键缝隙),可以打开电子邮件安适设备进行拒绝处事打击。
 

思科在其电子邮件安适设备中修复了严重的DoS缝隙


关于缝隙

这两个缝隙城市影响思科电子邮件安适设备的思科AsyncOS软件,并且可以被未经身份验证的打击者长途操作。
 

可以通过方针设备发送恶意S / MIME签名的电子邮件来操作CVE-2018-15453。
 

“如果配置了解密和验证或公钥收集,则过滤进程可能会因内存损坏和从头启动而瓦解,从而导致DoS条件。然后,该软件可以继续措置惩罚惩罚不异的S / MIME签名电子邮件,导致过滤过程瓦解并从头启动,“该公司解释说。
 

“一次告成的打击可能会让打击者造成永久性的DoS条件。此缝隙可能需要手动干与干预才华恢复ESA。
 

可以通过发送包罗大量白名单URL的恶意电子邮件来操作CVE-2018-15460。告成操作可能会导致连续的DoS情况,从而迫使受影响的设备遏制扫描和转发电子邮件。
 

虽然第一个缺陷没有解决要领,但可以通过禁用全局URL过滤来删除第二个缝隙被操作的可能性。然而,实施思科供给的软件更新是一个更好的主意。
 

思科在这批安适更新中修复的其他缝隙不太严重。

SEC咨询了几个影响思科VoIP电话的细节和PoC代码。