Strona 2 z 2
: 14 lut 2016, 14:41
autor: jarek6
lbromirs pisze:
Przecież jest napisane jasno w advisory zgodnie ze stanem faktycznym:
"Cisco ASA Software releases 7.2, 8.2, 8.3, 8.5, and 8.6 have reached End of Software Maintenance. Customers should migrate to a supported release."
Nie będzie.
Lukasz,
A jednak wyszedl patch release do starszych wersji.
Revision: Version 8.2.5(59) – 2/13/2016
Files: asa825-59-k8.bin, asa825-59-smp-k8.bin
Defects resolved since 8.2.5(58):
CSCux29978 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability
CSCux42019 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability
: 14 lut 2016, 18:24
autor: lbromirs
jarek6 pisze:lbromirs pisze:
Przecież jest napisane jasno w advisory zgodnie ze stanem faktycznym:
"Cisco ASA Software releases 7.2, 8.2, 8.3, 8.5, and 8.6 have reached End of Software Maintenance. Customers should migrate to a supported release."
Nie będzie.
Lukasz,
A jednak wyszedl patch release do starszych wersji.
Revision: Version 8.2.5(59) – 2/13/2016
Files: asa825-59-k8.bin, asa825-59-smp-k8.bin
Defects resolved since 8.2.5(58):
CSCux29978 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability
CSCux42019 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability
...i bardzo dobrze. Miał nie wyjść. Jednak nadal łatamy nawet nieutrzymywany już software
: 15 lut 2016, 10:15
autor: ar3k
bardzo dobrze ;]
myśle że ułatwi to wielu os. zrobienie update.
: 15 lut 2016, 12:41
autor: acrow
asa917-smp-K8-guest.bin
asa917-smp-K8.bin
ktoś sie orientuje czym róznią sie w/w obrazy ?
: 15 lut 2016, 15:22
autor: lbromirs
jinx_20 pisze:Tak się zastanawiam czy FPM'em na routerach powyżej ASA (np. routerach z BGP) nie da się tego jakoś wyciąć?
Jeśli macie VPNy S2S i jesteście w stanie odfiltrować ACLką ruch UDP do IKE - to tak, ochronisz ASA. Jeśli masz VPNy od klientów z dynamicznych IP to nie bardzo jak masz odfiltrować źródła. Zadziała to oczywiście zarówno przed ASA jak i na samej ASA.
ACLka nie jest natomiast rekomendowanym workaroundem z uwagi na to, że adres może zostać zespoofowany i wtedy ruch i tak do procesu IKE dotrze.
: 15 lut 2016, 18:51
autor: s2nt0
a o bugu SNMP w wersji 9.1(7) już coś wiadomo ? czy na razie nie oficjalnie tylko ?
: 18 lut 2016, 10:43
autor: s2nt0
: 18 lut 2016, 11:09
autor: Mike
Cytat z TAC:
"Currently 9.1(7) has been challenge and unfortunately we have run into multiple issues/bugs.
Currently we are working on a interim release fix version to address a crash, ARP issue and some management problem including SSL/ASDM.
I will strongly suggest you to upgrade to 9.0(4)38 or 8.4(7)30 in order to address the vulnerability while we get a permanent fix in 9.1.7 train."
: 18 lut 2016, 11:16
autor: lbromirs
Pamiętajcie proszę, że możecie zgłosić się do TAC z prośbą o poprawione oprogramowanie nawet jeśli nie posiadacie aktywnego kontraktu serwisowego - trzeba się tylko powołać na notkę PSIRT.
: 19 lut 2016, 14:16
autor: bolekis
Potwierdzam, wystarczy zadzwonić do TAC-a (bez kontraktu nie można wystawić zgłoszenia przez WWW). Warto mieć pod ręką wynik "show version" z urządzenia. Dzisiaj się za to zabrałem, załatany obraz v8.2.5(59) mam już na pobrany na dysku.
: 19 lut 2016, 17:46
autor: PatrykW
: 02 mar 2016, 14:00
autor: lukaszbw
Ktoś was już sprawdzał 9.1.7(4) w produkcji ? Jest dość świeży a chciałbym przy okazji przeskoczyć z Interim 9.0.4 na 9.1 ze względu na "flow-export active refresh-interval" usunięty w 9.0.
: 03 mar 2016, 23:48
autor: Szutor
Tydzień temu robiłem przeskok z 9.1(1)->9.1(2)->9.1(7)4 i nie narzekam, aczkolwiek ASA bez żadnych specjalnych feature'ów (tylko ACL/NAT/VPN S2S).
?