Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Cisco IOS
(IOS)
Cisco IOS XE
(03.02.00.JA, 03.02.00.SE, 03.02.01.SE, 03.02.02.SE, 03.02.02.SG, 03.02.03.SE, 03.02.03.SG, 03.02.10.SG, 03.02.11.SG, 03.03.00.SE, 03.03.00.SG, 03.03.00.XO, 03.03.01.SE, 03.03.01.SG, 03.03.01.XO, 03.03.02.SE, 03.03.02.SG, 03.03.02.XO, 03.03.03.SE, 03.03.05.SE, 03.04.00.SG, 03.04.00.SQ, 03.04.01.SG, 03.04.01.SQ, 03.04.02.SG, 03.04.03.SG, 03.04.04.SG, 03.04.05.SG, 03.04.06.SG, 03.04.07.SG, 03.04.08.SG, 03.05.00.E, 03.05.00.SQ, 03.05.01.E, 03.05.01.SQ, 03.05.02.E, 03.05.02.SQ, 03.05.03.E, 03.05.03.SQ, 03.05.08.SQ, 03.06.00.E, 03.06.00a.E, 03.06.00b.E, 03.06.01.E, 03.06.02.E, 03.06.02a.E, 03.06.03.E, 03.06.04.E, 03.06.05.E, 03.06.05a.E, 03.06.05b.E, 03.06.06.E, 03.06.07.E, 03.06.07a.E, 03.06.07b.E, 03.06.08.E, 03.06.09.E, 03.06.09a.E, 03.07.00.E, 03.07.00.S, 03.07.00b.S, 03.07.01.E, 03.07.01.S, 03.07.01a.S, 03.07.02.E, 03.07.02.S, 03.07.02t.S, 03.07.03.E, 03.07.03.S, 03.07.04.E, 03.07.04.S, 03.07.04a.S, 03.07.05.E, 03.07.05.S, 03.07.06.S, 03.07.08.S, 03.08.00.E, 03.08.00.S, 03.08.01.E, 03.08.01.S, 03.08.02.E, 03.08.02.S, 03.08.03.E, 03.08.04.E, 03.08.05.E, 03.08.05a.E, 03.08.07.E, 03.09.00.E, 03.09.00.S, 03.09.00a.S, 03.09.01.E, 03.09.01.S, 03.09.01a.S, 03.09.02.E, 03.09.02.S, 03.09.02b.E, 03.10.00.S, 03.10.01.E, 03.10.01.S, 03.10.01a.E, 03.10.01s.E, 03.10.02.E, 03.10.02.S, 03.10.02a.S, 03.10.03.S, 03.10.07.S, 03.10.08.S, 03.10.08a.S, 03.10.10.S, 03.11.00.S, 03.11.04.S, 03.12.00.S, 03.12.00a.S, 03.12.03.S, 03.12.04.S, 03.13.00.S, 03.13.00a.S, 03.13.01.S, 03.13.02.S, 03.13.02a.S, 03.13.04.S, 03.13.05.S, 03.13.05a.S, 03.13.06.S, 03.13.06a.S, 03.13.06b.S, 03.13.07.S, 03.13.07a.S, 03.13.10.S, 03.14.00.S, 03.14.04.S, 03.15.00.S, 03.15.01.S, 03.15.01c.S, 03.15.02.S, 03.15.03.S, 03.15.04.S, 03.16.00.S, 03.16.00a.S, 03.16.00b.S, 03.16.00c.S, 03.16.01.S, 03.16.01a.S, 03.16.02.S, 03.16.02a.S, 03.16.02b.S, 03.16.03.S, 03.16.03a.S, 03.16.04.S, 03.16.04a.S, 03.16.04b.S, 03.16.04c.S, 03.16.04e.S, 03.16.04g.S, 03.16.05.S, 03.16.05a.S, 03.16.05b.S, 03.16.06.S, 03.16.06b.S, 03.16.07.S, 03.16.07a.S, 03.16.07b.S, 03.16.08.S, 03.16.09.S, 03.17.00, 03.17.01.S, 03.17.01a.S, 03.17.04.S, 03.18.00.S, 03.18.00.SP, 03.18.00a.S, 03.18.01.S, 03.18.01a.SP, 03.18.01g.SP, 03.18.01h.SP, 03.18.01i.SP, 03.18.02.S, 03.18.02.SP, 03.18.02a.SP, 03.18.03.S, 03.18.03.SP, 03.18.03a.SP, 03.18.03b.SP, 03.18.04.S, 03.18.04.SP, 03.18.05.SP, 03.18.06.SP, 16.01.01, 16.01.03, 16.02.01, 16.02.02, 16.03.01, 16.03.01a, 16.03.02, 16.03.03, 16.03.04, 16.03.05, 16.03.05b, 16.03.06, 16.03.07, 16.04.01, 16.04.03, 16.05.01, 16.05.01a, 16.05.01b, 16.05.02, 16.05.03, 16.06.01, 16.06.04, 16.06.04s, 16.07.01, 16.07.01a, 16.07.01b, 16.07.02, 16.09.03h, 3.10.00.cE, 3.10.00.E)
Описание
Уязвимость в HTTP-клиенте Cisco IOS и IOS XE позволяет злоумышленникам, не прошедшим аутентификацию и действующим удаленно по принципу "человек посередине", просматривать и (или) изменять данные, которые должны отправляться по зашифрованному каналу. Уязвимость связана с игнорированием информации о TCP-портах при сопоставлении новых запросов с существующими, постоянными HTTP-соединениями.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-http-client
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-http-client
Ссылки
Источник: CVE
Наименование: CVE-2019-12665
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12665
Наименование: CVE-2019-12665
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12665