Risque
- Contournement de la politique de sécurité
Systèmes affectés
- AVS 3110 versions 4.0 et 5.0 ;
- AVS 3120 version 5.0.0.
Résumé
Une vulnérabilité présente sur Cisco AVS (Application Velocity System's) peut être exploitée par un utilisateur mal intentionné pour contourner la politique de sécurité via une requête HTTP malicieusement construite.
Description
Une vulnérabilité est présente dans la configuration par défaut de Cisco
AVS. Un utilisateur mal intentionné peut exploiter, via une requête HTTP
malveillante, le système vulnérable et l'utiliser comme serveur
mandataire (proxy) transparent pour accéder à des ports de destination
arbitraires.
Un changement dans la configuration par défaut permet de ne plus être
vulnérable.
La version 5.0.1 n'est pas impactée par cette vulnérabilité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco ID 20060510-avs du 10 mai 2006 : http://www.cisco.com/warp/public/707/cisco-sa-20060510-avs.shtml