思科修補可能產生永久服務阻斷的AsyncOS漏洞

思科（Cisco）於1月9日修補了旗下產品的18個安全漏洞，其中只有一個被列為重大（Critical）漏洞，此一編號為CVE-2018-15453的安全漏洞位於應用在思科電子郵件安全裝置（Cisco Email Security Appliances，ESA）所使用的AsyncOS軟體上，成功的攻擊可能造成永久的服務阻斷（DoS）現象。

具體而言，該漏洞現身於AsyncOS的Secure/Multipurpose Internet Mail Extensions（S/MIME）的功能上，此為傳送及接收安全且經驗證電子郵件的標準方法，若不當地輸入驗證經S/MIME簽署的電子郵件之後，就會產生漏洞。

思科說明，駭客只要藉由目標裝置發送經S/MIME簽署的惡意電子郵件就能開採該漏洞，倘若配置了解密與驗證，或是公鑰收割（Public Key Harvesting），過濾程序即會因記憶體毀損而瓦解，並重新啟動，形成阻斷服務現象，之後AsyncOS會再回復處理同一電子郵件的程序，但過濾程序同樣會再瓦解與重新啟動。

因此，成功的攻擊可能造成永久的服務阻斷狀況，影響採用AsyncOS 12.x之前所有版本的的虛擬或硬體ESA。

還有另一個與AsyncOS軟體有關的漏洞是被列為高嚴重性（High）等級的CVE-2018-15460，這次出錯的是它的郵件過濾功能，在不當過濾內含白名單網址的郵件時就會觸發漏洞，駭客可傳送含有大量白名單網址的電子郵件來開採該漏洞，它會把CPU的利用率提高到100%，迫使裝置停止掃描及轉寄郵件，形成持續的服務阻斷狀況。