cisco官方发布了 cisco asa 软件和 ftd 软

Cisco官方发布了 Cisco ASA 软件和 FTD 软件的 Web 接口存在目录遍历导致任意文件读取的风险通告。

2020年07月23日， Cisco官方发布了 Cisco ASA 软件和 FTD 软件的 Web 接口存在目录遍历导致任意文件读取 的风险通告。

Cisco Adaptive Security Appliance (ASA) 和 Cisco Firepower Threat Defense (FTD) 的 web 服务接口存在漏洞，允许未经身份验证的远程攻击者向受影响的设备发送一个精心制作的HTTP请求，成功利用该漏洞的攻击者能够进行目录遍历攻击并读取目标系统上的敏感文件。

该漏洞目前仅影响启用了AnyConnect或WebVPN配置的设备，并且此漏洞不能用于访问ASA或FTD系统文件或底层操作系统(OS)文件。

腾讯安全专家建议相关用户及时将 Cisco ASA/TFD 安装最新补丁。

建议相关企业将Cisco ASA及FTD升级到新版本。

升级到Cisco FTD的修复版本，客户可以执行以下操作之一:

对于使用Cisco Firepower Management Center（FMC）的设备，请使用FMC界面安装升级。安装完成后，重新应用访问控制策略。

对于使用Cisco Firepower Device Manager（FDM）的设备，请使用FDM界面来安装升级。安装完成后，重新应用访问控制策略。