Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Pour les trois premières vulnérabilités :
    • Cisco ONS 15327 Series ;
    • Cisco ONS 15454 MSPP ;
    • Cisco ONS 15454 MSTP ;
    • Cisco ONS 15600 Series ;
    • Cisco ONS 15310-CL Series.
  • Pour la dernière vulnérabilité : tous les Cisco ONS de la série 15000.

Résumé

Plusieurs vulnérabilités dans les produits Cisco ONS permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Plusieurs vulnérabilités ont été identifiées dans la série 15000 des produits Cisco Optical Networking System :

  • Une erreur dans la mise en œuvre de l'initialisation des connexions TCP permet à un utilisateur distant de provoquer, par le biais d'un paquet, une consommation de toute la mémoire du système vulnérable, engendrant ainsi un déni de service ;
  • deux erreurs dans le traitement de certains paquets IP permettent chacune à un utilisateur distant de provoquer un déni de service ;
  • une erreur dans la mise en œuvre du protocole de routage OSPF (Open Shortest Path First) permet à un utilisateur distant mal intentionné de provoquer un déni de service ;
  • une vulnérabilité dans le lanceur d'applet java du CTC (Cisco Transport Controller) permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine utilisant ce CTC, si celle-ci est utilisée pour consulter une page web construite de façon malveillante.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation