Avis du CERT-FR

Objet: Multiples vulnérabilités dans CISCO ACS UCP

Gestion du document

Référence	CERTA-2008-AVI-140
Titre	Multiples vulnérabilités dans CISCO ACS UCP
Date de la première version	17 mars 2008
Date de la dernière version	17 mars 2008
Source(s)	Bulletin de sécurité CISCO 100519 du 14 mars 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance ;
injection de code indirecte ;
atteinte à la confidentialité des données.

Systèmes affectés

Les versions antérieures à la 4.2.

Résumé

Plusieurs vulnérabilités ont été corrigées dans le module UCP (User Changeable Password).

Description

Le Module UCP est un CGI permettant aux utilisateurs de CISCO ACS (Access Control Server) de changer leur mot de passe via une page web. Des vulnérabilités de type dépassement de mémoire et injection de code indirecte ont été corrigées.

Solution

Se référer au bulletin de sécurité de CISCO 100519 du 14 mars 2008 pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco 20080312-ucp du 14 mars 2008 :

http://www.cisco.com/warp/public/707/cisco-sa-20080312-ucp.shtml

Référence CVE CVE-2008-0532 :

https://www.cve.org/CVERecord?id=CVE-2008-0532

Référence CVE CVE-2008-0533 :

https://www.cve.org/CVERecord?id=CVE-2008-0533

Gestion détaillée du document

le 17 mars 2008: version initiale.