Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Pour les trois premières vulnérabilités :
- Cisco ONS 15327 Series ;
- Cisco ONS 15454 MSPP ;
- Cisco ONS 15454 MSTP ;
- Cisco ONS 15600 Series ;
- Cisco ONS 15310-CL Series.
- Pour la dernière vulnérabilité : tous les Cisco ONS de la série 15000.
Résumé
Plusieurs vulnérabilités dans les produits Cisco ONS permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Plusieurs vulnérabilités ont été identifiées dans la série 15000 des produits Cisco Optical Networking System :
- Une erreur dans la mise en œuvre de l'initialisation des connexions TCP permet à un utilisateur distant de provoquer, par le biais d'un paquet, une consommation de toute la mémoire du système vulnérable, engendrant ainsi un déni de service ;
- deux erreurs dans le traitement de certains paquets IP permettent chacune à un utilisateur distant de provoquer un déni de service ;
- une erreur dans la mise en œuvre du protocole de routage OSPF (Open Shortest Path First) permet à un utilisateur distant mal intentionné de provoquer un déni de service ;
- une vulnérabilité dans le lanceur d'applet java du CTC (Cisco Transport Controller) permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine utilisant ce CTC, si celle-ci est utilisée pour consulter une page web construite de façon malveillante.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco ID 69702 du 06 avril 2006 :
http://www.cisco.com/warp/public/707/cisco-sa-20060405-ons.shtml
