S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 janvier 2011
N° CERTA-2011-AVI-033
Affaire suivie par: CERT-FR
le 27 janvier 2011

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Cisco Content Service Gateway

Gestion du document

Référence CERTA-2011-AVI-033
Titre Multiples vulnérabilités dans Cisco Content Service Gateway
Date de la première version 27 janvier 2011
Date de la dernière version 27 janvier 2011
Source(s) Avis Cisco-sa-20110126-csg2
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Cisco Content Service Gateway deuxième génération (CSG2).

Résumé

Plusieurs vulnérabilités sont présentes dans Cisco Content Service Gateway CSG2. Elles permettent de contourner la politique de sécurité (accés à des sites non autorisés, non facturation de l'accés), ou de provoquer un déni de service à distance.

Description

Plusieurs vulnérabilités sont présentes dans Cisco Content Service Gateway.

  • L'envoi d'un paquet TCP particulier peut entrainer un déni de service sur la passerelle ;
  • L'envoi d'une requête HTTP particulière, aprés avoir accédé à un site autorisé, permet un contournement de la politique de sécurité en place. Il est ainsi possible d'accéder à des sites normalement interdits ou de contourner le système de facturation. Cette vulnérabilité ne concerne que le traffic HTTP et non les autres protocoles tel que HTTPS.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 janvier 2011
    version initiale.