Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

CISCO IOS version 12.x et versions inférieures disposant du VTP (VLAN Trunking Protocol)

Résumé

Plusieurs vulnérabilités, permettant l'exécution de code arbitraire à distance et/ou de provoquer un déni de service, ont été découvertes dans le module VTP (VLAN Trunking Protocol)

Description

Trois vulnérabilités ont été découvertes dans le module VTP de CISCO IOS :

  • la première peut être exploitée par l'envoi de paquets malformés, afin de provoquer un déni de service ;
  • la deuxième est due à une faille de type débordement d'espace mémoire, et peut être exploitée par un utilisateur mal intentionné afin d'exécuter du code arbitraire à distance sur l'équipement vulnérable ;
  • la troisième vulnérabilité est présente au niveau de la validation des numéros de révision, ce qui pourrait être exploitée pour empêcher la mise à jour de l'équipement vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation