S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 novembre 2005
N° CERTA-2005-AVI-431
Affaire suivie par: CERT-FR
le 03 novembre 2005

Avis du CERT-FR

Objet: Vulnérabilité dans les produits Cisco

Gestion du document

Référence CERTA-2005-AVI-431
Titre Vulnérabilité dans les produits Cisco
Date de la première version 03 novembre 2005
Date de la dernière version 03 novembre 2005
Source(s) Bulletin de sécurité Cisco #20051102-timers du 02 novembre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • Exécution de code arbitraire à distance.

Systèmes affectés

  • Cisco IOS 12.0 ;
  • Cisco IOS 12.1 ;
  • Cisco IOS 12.2 ;
  • Cisco IOS 12.3 ;
  • Cisco IOS 12.4.

Résumé

Une vulnérabilité dans les produits Cisco équipés d'un IOS (Internal Operating System) permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Une erreur dans la mise en œuvre des timers internes des IOS Cisco permet d'exécuter du code arbitraire précédement injecté en mémoire par une attaque de type débordement de tas (heap overflow). Ceci permet à un utilisateur distant mal intentionné de provoquer un déni de service ou d'exécuter du code arbitraire à distance en exploitant cette vulnérabilité combinée à une autre de type heap overflow comme celle décrite dans l'avis CERTA-2005-AVI-309 sur la pile IPv6 des équipements Cisco.

Solution

Se référer au bulletin de sécurité Cisco pour appliquer le correctif approprié (cf. Documentation).

Documentation

Gestion détaillée du document

    le 03 novembre 2005
    version initiale.