S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 27 mai 2010
No CERTA-2010-AVI-229 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Cisco Network Building
Mediator
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-229 |
| Titre |
Multiples
vulnérabilités dans Cisco Network
Building Mediator |
| Date de la première
version |
27 mai 2010 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité cisco-sa-20100526-mediator
du 26 mai 2010 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Accès au système ;
- contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données ;
- élévation de privilèges.
- Produits Richards-Zeta Mediator
2500 ;
- Cisco Network Building
Mediator modèles NBM-2400 et NBM-4800.
Toutes les versions du logiciel Mediator Framework antérieures à
3.1.1 sont affectées.
De multiples vulnérabilités dans Cisco Network Building Mediator permettent
notamment d'obtenir un accès administrateur au
système.
De multiples vulnérabilités ont
été découvertes dans Cisco Network Building Mediator :
- des identifiants par défaut sont assignés
à de nombreux comptes, incluant celui de
l'administrateur (CVE-2010-0595) ;
- des utilisateurs authentifiés, ne disposant pas
des droits requis, peuvent lire et modifier la configuration
du matériel (CVE-2010-0596 et CVE-2010-0597) ;
- les identifiants de connexion peuvent être
interceptés (CVE-2010-0598 et CVE-2010-0599) ;
- un attaquant peut lire les fichiers de configuration du
système et obtenir notamment la liste des comptes et
leur mot de passe associé. Cette attaque ne
nécessite pas d'authentification préalable
(CVE-2010-0600).
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 27 mai 2010
- version initiale.
CERTA
2012-01-04
|
)
