Cybersec NewsУязивмости, експлойти, ъпдейти

Уязвимости в Cisco AsyncOS позволяват DoS атака с изпращането само на един имейл

Проблем със S/MIME може да доведе до срив на засегнатото устройство

Две уязвимости в Cisco AsyncOS позволяват изпълнението на атака за отказ на услуга (Denial-of-Service или DoS) чрез изпращането само на един имейл. Операционната система AsyncOS се използва в устройствата Cisco Email Security Appliance, които служат за защита на електронната поща.

Една от уязвимостите(CVE-2018-15453) е обозначена като критична, а другата – като такава с висока степен на опасност. Критичната уязвимост засяга проблем с Secure/Multipurpose Internet Mail Extensions (S/MIME) – технология за верифициране на имейл съобщения.

Злонамерено лице може да експлоатира уязвимостта и да изпрати зловреден имейл от устройство, което иска да компрометира. Имейлът кара филтриращия процес на устройството да се срива и рестартира многократно. Натоварването предизвиква състояние на отказ от услуга.

Другата уязвимост се дължи на проблем с начина, по който софтуерът на Cisco филтрира имейлите и по-точно тези, които идват от домейни с добър рейтинг. Ако злонамерено лице изпрати имейл съобщение, съдържащо списък на много домейни с добър рейтинг, това може да увеличи до 100% натоварването на процесора на засегнатото устройство.

Според Cisco тази уязвимост (маркирана като CVE-2018-15460) може да накара засегнатото устройство да спре да сканира и препраща имейл съобщения. За да бъде експлоатирана уязвимостта, системният администратор трябва да е включил опцията URL Filtering as Global Setting. По подразбиране тази настройка и изключена.

Двете уязвимости са част от общо 18 бъга, за които Cisco публикува информация на 9 януари.

Съвети за системни администратори

Cisco съветва системните администратори да обновят своята инсталация на AsyncOS до най-новата версия, която към момента е 12.

Покажи още

23 коментара

  1. ISM Phototake 3) Watney Ninth Phototake, Canada online pharmaceutics Phototake, Biophoto Siblings Adjunct Group therapy, Inc, Impaired Rheumatoid Lupus LLC 4) Bennett Hundred Prison Situations, Inc 5) Ephemeral Atrial Activation LLC 6) Stockbyte 7) Bubonic Resection Grade LLC 8) Composure With and May Go out for WebMD 9) Gallop WebbWebMD 10) Speed Resorption It LLC 11) Katie Mediator and May Produce after WebMD 12) Phototake 13) MedioimagesPhotodisc 14) Sequestrum 15) Dr. casino slots online casinos usa

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.

Back to top button