ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability

[jarek6]

Przecież jest napisane jasno w advisory zgodnie ze stanem faktycznym:

"Cisco ASA Software releases 7.2, 8.2, 8.3, 8.5, and 8.6 have reached End of Software Maintenance. Customers should migrate to a supported release."

Nie będzie.

Lukasz,
A jednak wyszedl patch release do starszych wersji.

Revision: Version 8.2.5(59) – 2/13/2016
Files: asa825-59-k8.bin, asa825-59-smp-k8.bin
Defects resolved since 8.2.5(58):

CSCux29978 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability
CSCux42019 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability

[lbromirs]

Przecież jest napisane jasno w advisory zgodnie ze stanem faktycznym:

"Cisco ASA Software releases 7.2, 8.2, 8.3, 8.5, and 8.6 have reached End of Software Maintenance. Customers should migrate to a supported release."

Nie będzie.

Lukasz,
A jednak wyszedl patch release do starszych wersji.

Revision: Version 8.2.5(59) – 2/13/2016
Files: asa825-59-k8.bin, asa825-59-smp-k8.bin
Defects resolved since 8.2.5(58):

CSCux29978 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability
CSCux42019 ssl Cisco ASA IKEv1 and IKEv2 Buffer Overflow Vulnerability

...i bardzo dobrze. Miał nie wyjść. Jednak nadal łatamy nawet nieutrzymywany już software

[ar3k]

bardzo dobrze ;]

myśle że ułatwi to wielu os. zrobienie update.

[acrow]

asa917-smp-K8-guest.bin
asa917-smp-K8.bin

ktoś sie orientuje czym róznią sie w/w obrazy ?

[lbromirs]

Tak się zastanawiam czy FPM'em na routerach powyżej ASA (np. routerach z BGP) nie da się tego jakoś wyciąć?

Jeśli macie VPNy S2S i jesteście w stanie odfiltrować ACLką ruch UDP do IKE - to tak, ochronisz ASA. Jeśli masz VPNy od klientów z dynamicznych IP to nie bardzo jak masz odfiltrować źródła. Zadziała to oczywiście zarówno przed ASA jak i na samej ASA.

ACLka nie jest natomiast rekomendowanym workaroundem z uwagi na to, że adres może zostać zespoofowany i wtedy ruch i tak do procesu IKE dotrze.

[s2nt0]

a o bugu SNMP w wersji 9.1(7) już coś wiadomo ? czy na razie nie oficjalnie tylko ?

[s2nt0]

Nowe info:

https://tools.cisco.com/security/center ... 10-asa-ike

Kolejny upgrade/downgrade ?

[Mike]

Cytat z TAC:

"Currently 9.1(7) has been challenge and unfortunately we have run into multiple issues/bugs.
Currently we are working on a interim release fix version to address a crash, ARP issue and some management problem including SSL/ASDM.
I will strongly suggest you to upgrade to 9.0(4)38 or 8.4(7)30 in order to address the vulnerability while we get a permanent fix in 9.1.7 train."

[lbromirs]

Pamiętajcie proszę, że możecie zgłosić się do TAC z prośbą o poprawione oprogramowanie nawet jeśli nie posiadacie aktywnego kontraktu serwisowego - trzeba się tylko powołać na notkę PSIRT.

[bolekis]

Potwierdzam, wystarczy zadzwonić do TAC-a (bez kontraktu nie można wystawić zgłoszenia przez WWW). Warto mieć pod ręką wynik "show version" z urządzenia. Dzisiaj się za to zabrałem, załatany obraz v8.2.5(59) mam już na pobrany na dysku.

[PatrykW]

https://tools.cisco.com/security/center ... 0218-glibc

[lukaszbw]

Ktoś was już sprawdzał 9.1.7(4) w produkcji ? Jest dość świeży a chciałbym przy okazji przeskoczyć z Interim 9.0.4 na 9.1 ze względu na "flow-export active refresh-interval" usunięty w 9.0.

[Szutor]

Tydzień temu robiłem przeskok z 9.1(1)->9.1(2)->9.1(7)4 i nie narzekam, aczkolwiek ASA bez żadnych specjalnych feature'ów (tylko ACL/NAT/VPN S2S).