📚 Cisco WAAS/vWAAS bis 5.3.5c/5.4/5.5.2 cifs-ao Denial of Service
💡 Newskategorie: PoC
🔗 Quelle: scip.ch
Allgemein
scipID: 80702
Betroffen: Cisco WAAS/vWAAS bis 5.3.5c/5.4/5.5.2
Veröffentlicht: 27.01.2016
Risiko: problematisch
Erstellt: 28.01.2016
Eintrag: 68.3% komplett
Beschreibung
Eine problematische Schwachstelle wurde in Cisco WAAS sowie vWAAS bis 5.3.5c/5.4/5.5.2 ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente cifs-ao. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für die Verfügbarkeit.
Die Schwachstelle wurde am 27.01.2016 als CSCus85330 in Form eines bestätigten Advisories (Website) veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2015-6421 statt. Der Angriff kann über das Netzwerk passieren. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 5.3.5.d oder 5.5.3 vermag dieses Problem zu beheben.CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]
Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
- cpe:/a:cisco:waas:5.3.5c
- cpe:/a:cisco:waas:5.4
- cpe:/a:cisco:waas:5.5.2
- cpe:/a:cisco:vwaas:5.3.5c
- cpe:/a:cisco:vwaas:5.4
- cpe:/a:cisco:vwaas:5.5.2
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: WAAS/vWAAS 5.3.5.d/5.5.3
Timeline
27.01.2016 | Advisory veröffentlicht
28.01.2016 | VulDB Eintrag erstellt
28.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: CSCus85330
Status: Bestätigt
CVE: CVE-2015-6421 (mitre.org) (nvd.nist.org) (cvedetails.com)
...