发布日期：2019-06-10
更新日期：2019-06-10

受影响系统：

Cisco ASA 5500-X Series Firewalls 9.9(2.1)
Cisco ASA 5500-X Series Firewalls 9.6(4.8)
Cisco Adaptive Security Appliance (ASA) Software 9.9
Cisco Adaptive Security Appliance (ASA) Software 9.8
Cisco Adaptive Security Appliance (ASA) Software 9.7
Cisco Adaptive Security Appliance (ASA) Software 9.6
Cisco Adaptive Security Appliance (ASA) Software 9.5
Cisco Adaptive Security Appliance (ASA) Software 9.4
Cisco Adaptive Security Appliance (ASA) Software 9.12
Cisco Adaptive Security Appliance (ASA) Software 9.10

不受影响系统：

Cisco Adaptive Security Appliance (ASA) Software 9.9.2.50
Cisco Adaptive Security Appliance (ASA) Software 9.8.4
Cisco Adaptive Security Appliance (ASA) Software 9.4.4.34
Cisco Adaptive Security Appliance (ASA) Software 9.10.1.17

描述：

---

BUGTRAQ  ID: 108132
CVE(CAN) ID: CVE-2019-1713

思科自适应安全设备(ASA)软件是为 Cisco ASA 系列提供强大功能的核心操作系统。它拥有多种外观，为 ASA 设备提供企业级防火墙功能 - 独立式设备(US)、刀片(US)和虚拟。ASA 软件还与其他关键安全技术集成，以提供功能全面的解决方案，满足不断发展的安全需要。
思科的FirePower Threat Defense(FTD)软件整合了ASA特性以及FirePower特性的软性。
思科自适应安全设备（ASA）软件基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的系统进行跨站点请求伪造（CSRF）攻击。该漏洞是由于受影响设备上基于Web的管理界面的CSRF保护不足所致。攻击者可以通过说服接口的用户遵循恶意链接来利用此漏洞。成功利用可能允许攻击者使用受影响用户的权限级别执行任意操作。如果用户具有管理权限，则攻击者可以更改受影响设备的配置，从中提取信息或重新加载受影响的设备。

<*来源：Farid Heydari
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-csrf
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20190501-asa-csrf）以及相应补丁:
cisco-sa-20190501-asa-csrf：Cisco Adaptive Security Appliance Software Cross-Site Request Forgery Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190501-asa-csrf

补丁下载：

浏览次数：920
严重程度：0（网友投票）