El falllo se debe a un error de validación en la funcionalidad de anti-spoofing, que no valida correctamente el tráfico HTTP inspeccionado antes de ser enviado al navegador a través de la etiqueta meta-refresh, que se utiliza para enviar al cliente la petición original. Esto puede ser aprovechado por atacantes para ejecutar código script arbitrario si se insta a una víctima a visitar un enlace especialmente manipulado con una secuencia de caracteres específica y un script insertados en la URL original.
Para que el script sea procesado:
* El cliente debe seguir la URL especialmente manipulada.
* Guard debe ejecutar la protección activa básica.
* La petición HTTP debe ser procesada y desviada por el Guard.
Los productos vulnerables son:
* Cisco Guard Appliance (Versión de software 3.X)
* Cisco Guard Blade (Versión de software 4.X)
* Cisco Guard Appliance [Versión de software 5.0(3)]
* Cisco Guard Appliance [Versión de software 5.1(5)]
Cisco ha puesto a disposición de sus clientes software para solucionar el problema. Puede obtenerse a través de los canales de distribución habituales.
Se debe visitar:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-crypto?psrtdcat20e2 (para el dispositivo)
http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-crypto?psrtdcat20e2 (para el módulo 7600)
Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…
Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…
Las entradas para acudir a este parque temático que defiende un turismo sostenible saldrán a…
Amplía la disponibilidad de actualizaciones y parches críticos para ambos sistemas operativo hasta agosto de…
Con esta actualización acelera las cargas de trabajo de Kubernetes para máquinas virtuales, bases de…
Su cometido pasa por consolidar y ampliar el ecosistema industrial en España y Portugal.