製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Cisco セキュリティアプライアンスデバイス上で稼働する AsyncOS におけるサービス運用妨害 (DoS) の脆弱性

Title	複数の Cisco セキュリティアプライアンスデバイス上で稼働する AsyncOS におけるサービス運用妨害 (DoS) の脆弱性
Summary	Cisco Web セキュリティアプライアンス、Email セキュリティアプライアンス、およびコンテンツセキュリティ管理アプライアンスデバイス上で稼働する Cisco AsyncOS の Web フレームワークの管理 GUI には、サービス運用妨害 (システムハング) 状態にされる脆弱性が存在します。ベンダは、本脆弱性を Bug ID CSCzv58669、CSCzv63329、および CSCzv78669 として公開しています。
Possible impacts	第三者により、管理インターフェースへの (1) HTTP または (2) HTTPS の一連のリクエストを介して、サービス運用妨害 (システムハング) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 26, 2013, midnight
Registration Date	July 1, 2013, 2:51 p.m.
Last Update	July 1, 2013, 2:51 p.m.

Affected System

シスコシステムズ

Cisco AsyncOS 7.1.3-013 未満 (*3)

Cisco AsyncOS 7.1.5-106 未満 (*1)

Cisco AsyncOS 7.3 (*1)

Cisco AsyncOS 7.5 (*1)

Cisco AsyncOS 7.5.0-838 未満の 7.5 (*3)

Cisco AsyncOS 7.6.3-019 未満の 7.6 (*1)

Cisco AsyncOS 7.7.0-602 未満の 7.7 (*3)

Cisco AsyncOS 7.9.1-102 未満(*2)

Cisco AsyncOS 8.0.0-404 未満の 8.0 (*2)

Cisco E メールセキュリティアプライアンス

Cisco Web セキュリティアプライアンス

Cisco コンテンツセキュリティ管理アプライアンス

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-3385	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3385
National Vulnerability Database (NVD)
2	CVE-2013-3385	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3385

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	Name	URL
Cisco Applied Mitigation Bulletin
1	29452	http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=29452
Cisco Security Advisory
2	cisco-sa-20130626-esa	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-esa
3	cisco-sa-20130626-sma	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-sma
4	cisco-sa-20130626-wsa	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa
Vulnerability Alert
5	29728	http://tools.cisco.com/security/center/viewAlert.x?alertId=29728
シスコセキュリティアドバイザリ
6	cisco-sa-20130626-esa	http://www.cisco.com/cisco/web/support/JP/111/1118/1118427_cisco-sa-20130626-esa-j.html
7	cisco-sa-20130626-sma	http://www.cisco.com/cisco/web/support/JP/111/1118/1118426_cisco-sa-20130626-sma-j.html
8	cisco-sa-20130626-wsa	http://www.cisco.com/cisco/web/support/JP/111/1118/1118424_cisco-sa-20130626-wsa-j.html

Change Log

No	Changed Details	Date of change
0	[2013年07月01日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-3385

Summary	The management GUI in the web framework in IronPort AsyncOS on Cisco Web Security Appliance devices before 7.1.3-013, 7.5 before 7.5.0-838, and 7.7 before 7.7.0-602; Email Security Appliance devices before 7.1.5-106 and 7.3, 7.5, and 7.6 before 7.6.3-019; and Content Security Management Appliance devices before 7.9.1-102 and 8.0 before 8.0.0-404 allows remote attackers to cause a denial of service (system hang) via a series of (1) HTTP or (2) HTTPS requests to a management interface, aka Bug IDs CSCzv58669, CSCzv63329, and CSCzv78669.
Publication Date	June 28, 2013, 6:55 a.m.
Registration Date	Jan. 26, 2021, 3:40 p.m.
Last Update	Nov. 21, 2024, 10:53 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:cisco:ironport_asyncos::::::::			7.1.3
cpe:2.3:o:cisco:ironport_asyncos:7.2:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.3:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.5:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.6:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.7:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.8:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.9:::::::*
execution environment
1	cpe:2.3:h:cisco:content_security_management:-:::::::*
2	cpe:2.3:h:cisco:web_security_appliance:-:::::::*
3	cpe:2.3:o:cisco:email_security_appliance_firmware:-:::::::*

Related information, measures and tools

No	URL	タグ
1	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-esa
2	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-esa
3	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-sma	Vendor Advisory
4	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-sma	Vendor Advisory
5	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa
6	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:cisco:ironport_asyncos::::::::			7.1.3
cpe:2.3:o:cisco:ironport_asyncos:7.2:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.3:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.5:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.6:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.7:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.8:::::::*
cpe:2.3:o:cisco:ironport_asyncos:7.9:::::::*
execution environment
1	cpe:2.3:h:cisco:content_security_management:-:::::::*
2	cpe:2.3:h:cisco:web_security_appliance:-:::::::*
3	cpe:2.3:o:cisco:email_security_appliance_firmware:-:::::::*