思科在其Web安全设备中修补了高度严重性的缺陷

思科系统已修复四种拒绝服务漏洞，攻击者可以利用Web安全设备设备正确地停止处理流量。

Cisco Web安全设备（WSA）是一行安全设备，即检查进出组织的Web流量，以检测恶意软件，防止数据泄露并强制为用户和应用程序强制访问Internet访问策略。该设备运行一个名为Cisco Asyncos的操作系统。

Cisco星期三修复了四个DOS漏洞之一，源于OS处理特定的HTTP响应代码。攻击者可以发送专为Crafted HTTP请求来消耗受影响设备的整个内存。

思科在咨询中表示，如果发生这种情况，该设备将不再接受新的传入连接请求。

所有超过9.0.1-162的Cisco Asyncos版本都受到影响。建议用户升级到此版本。版本9.1也不受影响。

另一个DOS漏洞是由于缺乏构成HTTP POST请求的数据包的正确输入验证引起的。可以通过专门制作的HTTP请求来利用该缺陷，并且可以导致代理过程变得无响应和WSA重新加载。

只有Asyncos 8.0版受此漏洞的影响。思科在咨询中表示，用户可以升级到8.0.6-119或9.0.1-162，其中包含所有四个缺陷的补丁。

当通过WSA请求缓存内容的文件范围时，第三个漏洞源于未能释放内存。通过打开多个连接和请求文件范围，攻击者可能导致WSA运行内存并停止传输流量。

ASYNCOS的8.5至8.8版本受到影响，Cisco建议升级至9.0.1-162。

出现第四个漏洞，因为异步无法正确分配HTTP标题的空间和预期的HTTP有效载荷。利用此缺陷可能导致代理程序重新加载和停止流量。

缺陷会影响Asyncos版本8.8和更低。思科已在8.5分支机构和9.0.1-162中修复了版本8.5.3-069的缺陷。

除了WSA缺陷之外，思科还在Cisco统一计算系统（UCS）中央软件的Web界面中修补了适度的严重性跨站点漏洞。