 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 10 avril 2009
No CERTA-2009-AVI-134 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités des
produits Cisco
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-134 |
| Titre |
Vulnérabilités des
produits Cisco |
| Date de la première
version |
10 avril 2009 |
| Date de la dernière
version |
- |
| Source(s) |
|
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- contournement de la politique de
sécurité.
- Cisco PIX 7.x et 8.x ;
- Cisco ASA 7.x et 8.x.
Plusieurs vulnérabilités affectent les produits
Cisco. Leurs exploitation permet de contourner la politique de
sécurité ou de réaliser un déni de
service à distance.
Plusieurs vulnérabilités affectent les produits
Cisco :
- lorsque la fonctionnalité override account est activée, une
vulnérabilité permet de contourner
l'authentification ;
- lorsqu'un boîtier Cisco ASA est serveur de VPN SSL
ou lorsque l'interface de gestion ASDM est active, une
vulnérabilité dans le traitement des paquets
SSL et HTTP permet à un utilisateur malveillant de
provoquer un rechargement de l'équipement ;
- un défaut de la gestion de la mémoire est
présent dans le traitement des paquets TCP. Il est
exploitable pour provoquer un déni de service
dès lors qu'un service basé sur TCP est actif
sur l'équipement (VPN SSL, ASDM, SSH...) ;
- le traitement défectueux des paquets H.323 permet
à un utilisateur malveillant de provoquer le
rechargement de l'équipement ;
- le traitement défectueux des paquets SQL*Net
permet à un utilisateur malveillant de provoquer le
rechargement de l'équipement ;
- une erreur non précisée permet de ne pas
tenir compte de l'interdiction d'accès implicite lors
du traitement des listes de contrôle
d'accès.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 10 avril 2009
- version initiale.
CERTA
2012-01-04
|
|
)
