Risque

  • Déni de service

Systèmes affectés

Cisco Pix version 6.3 et 7.0.

Résumé

Une vulnérabilité présente sur le pare-feu PIX de CISCO permet à un utilisateur mal intentionné de réaliser un déni de service via des paquets malcieusement construits.

Description

Un utilisateur mal intentionné peut réaliser un déni de service via l'utilisation d'un paquet TCP-SYN malicieusement construit ayant une somme de contrôle invalide.

Ce déni de service, d'une durée limitée liée à la configuration du PIX, est restreint aux paquets ayant les mêmes adresses IP, ports sources et destinations que le paquet malicieusement construit.

Contournement provisoire

Il n'existe pour le moment aucun correctif à cette vulnérabilité, cependant CISCO a proposé plusieurs solutions permettant de contourner le problème :

  • activer le mode « TCP-intercept » ;
  • réduire le temps de mise à l'écart associé aux nouvelles connexions bloquées.

Documentation