Уязвимость отказа в обслуживании при аутентификации удаленного доступа SSL VPN в программном обеспечении Cisco Adaptive Security Appliance и Firepower Threat Defense

Уязвимость в функции аутентификации сеансов в функции удаленного доступа SSL VPN в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD) может позволить неавторизованному удаленному злоумышленнику предотвратить аутентификацию пользователей. Эта уязвимость вызвана недостаточной энтропией в процессе аутентификации. Злоумышленник может использовать эту уязвимость, определив идентификатор аутентифицирующегося пользователя и используя его для завершения его сеанса аутентификации. Успешное использование этой уязвимости может позволить злоумышленнику принудительно завершить процесс аутентификации пользователя, предотвратив установку легитимного пользователя удаленных сеансов VPN. Cisco выпустила обновления программного обеспечения, устраняющие эту уязвимость. Нет обходных решений, устраняющих эту уязвимость. Это уведомление доступно по следующей ссылке: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-vpn-nyH3fhp Это уведомление является частью выпуска октября 2024 года публикации Cisco ASA, FMC и FTD Software Security Advisory Bundled Publication. Для получения полного списка уведомлений и ссылок на них см. Cisco Event Response: октябрь 2024 года Полугодовая публикация Cisco ASA, FMC и FTD Software Security Advisory Bundled Publication. Рейтинг воздействия на безопасность: Средний CVE: CVE-2024-20331