Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • AVS 3110 versions 4.0 et 5.0 ;
  • AVS 3120 version 5.0.0.

Résumé

Une vulnérabilité présente sur Cisco AVS (Application Velocity System's) peut être exploitée par un utilisateur mal intentionné pour contourner la politique de sécurité via une requête HTTP malicieusement construite.

Description

Une vulnérabilité est présente dans la configuration par défaut de Cisco AVS. Un utilisateur mal intentionné peut exploiter, via une requête HTTP malveillante, le système vulnérable et l'utiliser comme serveur mandataire (proxy) transparent pour accéder à des ports de destination arbitraires.
Un changement dans la configuration par défaut permet de ne plus être vulnérable.

La version 5.0.1 n'est pas impactée par cette vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation