Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Toutes les versions de CISCO IOS Software (9.x, 10.x, 11.x et 12.x).

Description

Plusieurs vulnérabilités ont été identifiées dans le système d'exploitation Cisco IOS. Elles touchent les couches protocolaires TCP, IPv4 et IPv6 :

  • la couche TCP ne manipulerait pas correctement les numéros de séquence et les valeurs acquittées ; une personne malveillante pourrait envoyer plusieurs paquets exploitant cette vulnérabilité, afin de provoquer un déni de service ;
  • la couche IPv4 ne manipulerait pas correctement le champ IP option. Une personne malveillante pourrait ainsi envoyer un paquet avec une en-tête IP contenant un champ mal conçu et une autre en-tête particulière ICMP, PIMv2, PGM ou URD afin d'exécuter du code arbitraire à distance ;
  • la couche IPv6 ne manipulerait pas correctement des options de routage par la source (Type 0 Routing Headers), pouvant conduire à un dysfonctionnement du système vulnérable.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation