来源

secunia.com

操作系统

Cisco Adaptive Security Appliance (ASA) 8.x

描述

1) VPN web portal环境中，在一个调用 eval()前web页面中经过传递的输入没有准确过滤，这可导致在WebVPN用户会话时执行任意HTML和脚本代码
2)通过ROT13加密查询参数的输入在传递到VPN web portal前没有准确过滤，这可导致在VPN web portal用户会话时执行任意HTML和脚本代码
3)SSL VPN功能中处理 Common Internet File System (CIFS)和FTP共享时存在一个问题，如果用户点击相应的链接时将会执行欺骗攻击并潜在泄露用户的授权信息

配置为接收客户端少的SSL VPN链接，该漏洞在V 8.0.4(34),8.1.2(25),和8.2.1(3)之前的版本中已经报告

解决方案

更新到V8.0.4(34), 8.1.2(25), 或8.2.1(3).
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT