S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 juillet 2003
N° CERTA-2003-AVI-129
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du serveur HTTP dans CISCO IOS

Gestion du document

Référence CERTA-2003-AVI-129
Titre Vulnérabilité du serveur HTTP dans CISCO IOS
Date de la première version31 juillet 2003
Date de la dernière version31 juillet 2003
Source(s) Bulletin de sécurité CISCO

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Tout système fonctionnant sous CISCO IOS, sauf les versions 12.3 et 12.3T.

Résumé

Le serveur HTTP des systèmes CISCO IOS peut être activé si spécifié dans la configuration. Une vulnérabilité de type débordement de mémoire dans le code permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur le système.

Description

Une requête standard GET du protocole HTTP volontairement mal formée permet d'exploiter la vulnérabilité.

Contournement provisoire

Limiter les hôtes ou réseaux autorisés à se connecter au serveur HTTP en créant des ``access lists'' adéquates.

Solution

Se référer au bulletin de sécurité Cisco (cf. section Documentation) pour l'obtention d'un correctif.

Documentation

Gestion détaillée du document

    le 31 juillet 2003
    version initiale.