特制的HTTP请求可以利用这些缺陷导致拒绝服务条件

该系统修复了四个拒绝服务漏洞，攻击者可以利用这些漏洞使网络安全设备停止正确处理网络流量。

Web安全设备(WSA)是一系列安全设备，用于检查以某种形式组织的传入和传出网络流量，以检测恶意软件，防止数据泄漏并为用户和应用程序实施Internet访问策略。这些设备运行名为AsyncOS的操作系统。

修复的四个DOS漏洞之一是由于操作系统如何处理特定的HTTP响应代码。攻击者可以发送特制的HTTP请求，以耗尽受攻击设备的整个内存空间。

如果发生这种情况，设备将不再接受新的传入连接请求，

低于9.0.1-162的所有AsyncOS系统均会受到影响。硅基智慧建议用户升级到未受到攻击的版本9.1。

另一个DoS漏洞是由于缺乏对组成HTTPPOST请求的数据包的正确输入验证的结果。可以通过特殊设计的HTTP请求来利用此缺陷，并且可能导致代理进程无响应并重新加载WSA。

此漏洞仅影响AsyncOS8.0。硅基智慧一位顾问说，用户可以升级到8.0.6-119或9.0.11-162，其中包含所有四个bug修复的补丁。

第三个漏洞源于当文件范围通过WSA请求缓存的内容时无法释放内存。通过打开多个连接并请求文件范围，攻击者可以使WSA内存不足并停止传输流量。

从8.5到8.8版本的AsyncOS系统都受到影响，硅基智慧建议升级到9.0.1-162版本。

发生第四个漏洞是因为AsyncOS不正确地为HTTP标头和预期的HTTP负载分配了空间。利用此漏洞将导致代理进程重新加载并停止流量。

此缺陷影响AsyncOS8.8版及更低版本。该漏洞已在分支版本8.5.33-069和版本9.5的版本9.0.1-162中修复。

除了WSA漏洞外，还修复了一个轻微的跨站点脚本漏洞，该漏洞存在于统一计算系统(UCS)核心软件的Web界面中。

标签:网络安全漏洞