Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-140

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2008-AVI-140
Titre	Multiples vulnérabilités dans CISCO ACS UCP
Date de la première version	17 mars 2008
Date de la dernière version	-
Source(s)	Bulletin de sécurité CISCO 100519 du 14 mars 2008
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance ;
injection de code indirecte ;
atteinte à la confidentialité des données.

2 Systèmes affectés

Les versions antérieures à la 4.2.

3 Résumé

Plusieurs vulnérabilités ont été corrigées dans le module UCP (User Changeable Password).

4 Description

Le Module UCP est un CGI permettant aux utilisateurs de CISCO ACS (Access Control Server) de changer leur mot de passe via une page web. Des vulnérabilités de type dépassement de mémoire et injection de code indirecte ont été corrigées.

5 Solution

Se référer au bulletin de sécurité de CISCO 100519 du 14 mars 2008 pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Bulletin de sécurité Cisco 20080312-ucp du 14 mars 2008 :
```
http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml
```

Référence CVE CVE-2008-0532 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0532

Référence CVE CVE-2008-0533 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0533

Gestion détaillée du document

17 mars 2008: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques