 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 30 juin 2010
No CERTA-2010-AVI-292-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Cisco ASA
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-292-001 |
| Titre |
Vulnérabilités
dans Cisco ASA |
| Date de la première
version |
28 juin 2010 |
| Date de la dernière
version |
30 juin 2010 |
| Source(s) |
Notes de version Cisco ASA
version 8.1(2) |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- déni de service à distance ;
- contournement de la politique de
sécurité ;
- injection de code indirecte.
Cisco ASA versions 8.1(1) et antérieures.
De nombreuses vulnérabilités ont
été trouvées dans Cisco ASA. Elles
permettent de réaliser un déni de service
à distance, de contourner la politique de
sécurité ou de réaliser de l'injection de
code indirecte.
Plusieurs vulnérabilités sont présentes
dans Cisco ASA. En particulier :
- deux vulnérabilités permettent à une
personne malveillante d'injecter du code dans les
réponses HTTP émises par le serveur et ainsi de
faire exécuter du code dans le navigateur Web de la
victime ;
- les gestions incorrectes des protocoles IPv6 et SSL
permettent à un utilisateur malveillant de contourner
la politique de sécurité ;
- un problème de traitement des certificats X.509
permet à un utilisateur malveillant d'épuiser
la mémoire de l'équipement ;
- une vulnérabilité non
précisée ainsi qu'un trafic SIP important
permettent à un utilisateur malveillant distant de
provoquer le redémarrage de
l'équipement ;
- DTLS, IPsec L2L, les VPN SSL et des paquets TCP
malformés sont utilisables par un attaquant pour
provoquer un déni de service à distance.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 28 juin 2010
- version initiale.
- 30 juin 2010
- ajout de vulnérabilités et de 14
références CVE.
CERTA
2012-01-04
|
|
)
