天津北方网讯：2018年1月29日，思科（Cisco）官方发布安全公告表示，思科自适应安全设备（ASA，Adaptive Security Appliance）软件的安全套接层（SSL）VPN功能存在远程漏洞执行和拒绝服务漏洞，攻击者可利用此漏洞在未经身份验证的情况下，在受影响的设备上远程执行任意代码、获取目标系统的完整控制权限或重启设备。

　　该漏洞是由于在思科ASA/FTD启用webvpn功能时尝试双重释放内存区域所致。攻击者可以通过将多个精心制作的XML数据包发送到受影响系统上的webvpn配置界面来利用此漏洞。受影响的系统可能允许未经身份验证的远程攻击者执行任意代码并获得对系统的完全控制权，或导致受影响设备拒绝服务vpn访问外网访问。该漏洞获得CVE编号CVE-2018-0101，CVSS 评分为满分10分，因为它很容易遭利用，而且无需在设备进行认证。

　　Cisco提供了修复该漏洞新版本，覆盖了所有ASA软硬件型号以及受影响FTD型号。经过验证，升级修复还是比较顺利的。建议相关用户尽快升级。

　　天津市网信办提示广大互联网用户和企业采取有效措施进行防控：及时分析预警信息，禁用ASA VPN功能或安装更新的操作系统版本，对可能演变为严重事件的情况，及时采取应对措施，避免出现网络安全事故。

　　市网信办关于思科产品存在网络安全高危漏洞的风险提示,受影响的系统可能允许未经身份验证的远程攻击者执行任意代码并获得对系统的完全控制权，或导致受影响设备拒绝服务。