关键信息 漏洞ID: Advisor ID: cisco-sa-20160518-wsa2 CVE: CVE-2016-1381 重要性: 高 发布时间: 2016年5月18日 16:00 GMT 绕过方式: 有 CVSS评分: Base: 7.8 Temporal: 6.8 --- 漏洞概述 该漏洞发生在Cisco AsyncOS for Cisco Web Security Appliance (WSA)的缓存文件范围请求功能中,会导致远程未授权攻击者由于设备系统内存耗尽,从而导致拒绝服务(DoS)状态。 漏洞原因在于当通过WSA请求缓存内容的文件范围时,内存释放失败。攻击者可以通过受影响的设备打开多个请求文件范围的连接来利用此漏洞。成功利用可能导致当内存用尽且未释放时,WSA停止传输流量。 --- 受影响的产品 该漏洞影响虚拟和硬件设备上的Cisco AsyncOS版本。目前,未发现其他Cisco产品受此漏洞影响。 --- 补丁软件 Cisco已经发布了解决此公告所述漏洞的免费软件更新。客户只能安装和期望对他们已经购买了许可证的软件版本和功能集提供支持。任何试图超出这些边界的行为都可能导致保修无效。在大多数情况下,可以通过使用System Upgrade选项,在系统管理GUI中通过网络升级WSA。可参阅特定的升级步骤。 点击链接下载访问公告: cisco-sa-20160518-wsa1 cisco-sa-20160518-wsa2