S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 avril 2007
N° CERTA-2007-AVI-191
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité CISCO

Gestion du document

Référence CERTA-2007-AVI-191
Titre Vulnérabilité CISCO
Date de la première version26 avril 2007
Date de la dernière version26 avril 2007
Source(s) Bulletin de sécurité Cisco ID 82377 du 25 avril 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

  • CISCO Hosting Solution Engine versions 1.x ;
  • CISCO Hosting Solution Software versions 1.x.
  • CISCO Network Analysis Modules 6000, 6500, 7600 ;
  • CISCO Unified Application Environment versions 2.x ;

Résumé

Une vulnérabilité présente dans plusieurs produits CISCO pourrait conduire à l'exécution de code arbitraire sur des produits vulnérables. Cette vulnérabilité provient du module PHP et plus particulièrement des fonctions htmlentities() et htmlspecialchars() qui ne gèrent pas correctement des données mal formées provoquant ainsi un débordement de tampon.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 26 avril 2007
    version initiale.