ГлавнаяБаза уязвимостей БДУ → BDU:2015-00126
4.3средняя

BDU:2015-00126 (CVE-2014-0224)

Уязвимость программного обеспечения Cisco ASA, позволяющая злоумышленнику перехватить сессию
Опубликовано: 2016-07-06
Описание

Уязвимость существует в OpenSSL из-за некорректного ограничения обработки сообщений ChangeCipherSpec. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему по принципу "человек посередине", спровоцировать использование пустого (нулевой длины) мастер-ключа в передаче данных OpenSSL-to-OpenSSL с последующим перехватом сессии или получением доступа к конфиденциальной информации при помощи специально сформированного TLS-квитирования (handshake). Данная уязвимость также известна под названием "Внедрение CCS".

Затрагиваемое ПО и версии
Adaptive Security Appliance (от 8.0 до 8.2(5.50))Adaptive Security Appliance (от 8.3 до 8.3(2.41))Adaptive Security Appliance (от 8.4 до 8.4(7.21))Adaptive Security Appliance (от 8.5 до 8.5(1.21))Adaptive Security Appliance (от 8.6 до 8.6(1.14))Adaptive Security Appliance (от 8.7 до 8.7(1.12))Adaptive Security Appliance (от 9.0 до 9.0(4.16))Adaptive Security Appliance (от 9.1 до 9.1(5.9))Adaptive Security Appliance (от 9.2(1) до 9.2(2))
Способ устранения

Использование рекомендаций производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224CISCO(CSCup28056):http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCup28056CISCO(CSCup22544):http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCup22544CISCO(CSCup22532):http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCup22532CISCO(CSCup21571):http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCup21571
Проверьте безопасность своего сайта и почты → Полная проверка домена