CVE-2022-20653

Versões do Cisco Email Security Appliance (ESA) anteriores à versão 13.5.4.102 do Cisco AsyncOS

Uma vulnerabilidade no componente de verificação de e-mail DANE (Authentication of Named Entities baseada em DNS) pode permitir que um invasor remoto não autenticado provoque uma condição de negação de serviço (DoS) em um dispositivo afetado. Isso se deve ao tratamento insuficiente de erros na resolução de nomes DNS pelo software afetado. Um invasor poderia explorar isso enviando mensagens de e-mail com formatação especial que são processadas por um dispositivo afetado, fazendo com que o dispositivo fique inacessível a partir das interfaces de gerenciamento ou processe mensagens de e-mail adicionais por um período de tempo até que o dispositivo se recupere, resultando em uma condição de DoS. Ataques contínuos poderiam fazer com que o dispositivo ficasse completamente indisponível, resultando em uma condição de DoS persistente.

Para versões do Cisco Email Security Appliance (ESA) anteriores à versão 13.5.4.102 do Cisco AsyncOS, atualize para a versão 13.5.4.102 ou posterior do Cisco AsyncOS para resolver o problema. Como solução alternativa temporária, considere configurar o Cisco ESA para enviar mensagens de rejeição em vez de depender de servidores de e-mail a jusante e verifique se o DANE está habilitado, acessando a página Políticas de e-mail > Controles de destino > Adicionar destino na interface web e garantindo que o parâmetro Suporte a DANE não esteja habilitado.