Risque

  • Déni de service à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Cisco Adaptive Security Appliance (ASA) 7.x ;
  • Cisco Adaptive Security Appliance (ASA) 8.x ;
  • Cisco PIX 7.x ;
  • Cisco PIX 8.x.

Résumé

Plusieurs vulnérabilités présentes dans les produits ASA et PIX de Cisco permettent à un utilisateur distant de provoquer un déni de service ou de porter atteinte à la confidentialité de certaines données.

Description

De multiples vulnérabilités sont présentes dans les produits ASA et PIX de Cisco :

  • la première est relative à la mise en œuvre du protocole SIP et permet à un utilisateur distant de provoquer un redémarrage intempestif du système vulnérable ;
  • la seconde est relative à la gestion des connexions de clients VPN et permet également de provoquer un déni de service de l'équipement ;
  • la troisième est due à une fuite mémoire dans le composant gérant les paquets SSL ou HTTP et permet de provoquer un arrêt inopiné du système ;
  • la quatrième est relative à une erreur dans la manipulation de certaines URI particulières utilisées dans le cadre d'accès VPN et peut causer également un déni de service ;
  • la dernière permet à un utilisateur distant de collecter certaines données du système en incitant un utilisateur à visiter un site web construit de façon particulière ou à répondre à un courriel particulier.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation