技術概要と運用例:
blog.exodusintel.com/2016/02/10/firewall-hacking
以下のデバイスが影響を受けます。
- Cisco ASA 5500シリーズ適応型セキュリティアプライアンス
- Cisco ASA 5500-Xシリーズの次世代ファイアウォール
- Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のCisco ASAサービスモジュール
- Cisco ASA 1000Vクラウドファイアウォール
- Cisco Adaptive Security Virtual Appliance(ASAv)
- Cisco Firepower 9300 ASAセキュリティモジュール
- Cisco ISA 3000産業用セキュリティアプライアンス
修正されたOSバージョンはすでに利用可能です。
| 基本バージョン | 訂正 |
|---|---|
| 7.2 | 9.1(6.11) |
| 8.2 | 8.2(5.59) |
| 8.3 | 9.1(6.11) |
| 8.4 | 8.4(7.30) |
| 8.5 | 影響を受けない |
| 8.6 | 9.1(6.11) |
| 8.7 | 8.7(1.18) |
| 9.0 | 9.0(4.38) |
| 9.1 | 9.1(6.11) |
| 9.2 | 9.2(4.5) |
| 9.3 | 9.3(3.7) |
| 9.4 | 9.4(2.4) |
| 9.5 | 9.5(2.2) |
256 MBのRAMを搭載したハードウェアでは、バージョン8.2.5(59) [ MEGA ]をインストールできます。
ほとんどのバージョンでは、修正は、ASDMを介してアップグレードするときに表示されない暫定バージョンとしてのみ利用できます。 ダウンロードポータルから手動でダウンロードします 。
ファームウェアファイルを混同しないでください。シングルコア5500の場合はasaXXX-k8.bin、マルチコア5500-Xの場合はasaXXX-X- smp -k8.binのようになり、FirePOWERの場合は別の拡張子asaXXX-X- lfbff -k8になります。 SPA
バージョン9.1.7では、SNMPに関連するバグを既に発見しており、これにより一部のデバイスが周期的に再起動する可能性があります。現在、9.1(6.11)をインストールして脆弱性を閉じることをお勧めします。 彼と他の問題は/ネットワーキングで議論されます。
回避策
回避策として、TACはポート500および4500のフィルタリングパケットを提供します:
以下に、1.1.1.1からのアクセスを許可し、他のすべてを拒否するコントロールプレーンACLの例を示します。
access-list test permit udp host 1.1.1.1 any eq 500
access-list test permit udp host 1.1.1.1 any eq 4500
access-list test deny udp any any eq 500
access-list test deny udp any any eq 4500
access-list test permit ip any any
access-group test in interface outside control-plane
PS
Sourgの鋭い目は、契約が期限切れになった、または失われた人々のためのパラグラフに注目しています。 ニュースレターと鉄片のシリアル番号を参照してTACに連絡してください。
www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
PPS
シスコの無関心さに触発されて、アノニマスは最新バージョンを無料でアクセスしたかったのですが、ユーザーのリクエストに奇妙なことに気づき、アップデート中にデバイス、設定、健全なスリープを失い、将来への希望をもたらす依存関係を思い出しました。 また、バージョン8.3以降、RAMの要件が増加しています。
あなたの能力に自信があり、冒険を恐れていない場合: リリースを読み、バックアップし、Rutreker、Rubord、Antissisko、MegaSearchでファームウェアを探します。