Risque
- Atteinte à la confidentialité des données ;
- injection de code indirecte.
Systèmes affectés
- Cisco ASA software versions antérieures à la 8.0.4(34) ;
- Cisco ASA software versions antérieures à la 8.1.2(25) ;
- Cisco ASA software versions antérieures à la 8.2.1(3).
Toutes ces versions sont vulnérables lorsqu'elles sont installées sur les équipements Cisco ASA 5505, 5510, 5520, 5540, 5550 et 5580.
Résumé
Plusieurs vulnérabilités affectant Cisco ASA software permettent à une personne malintentionnée de porter atteinte à la confidentialité des données et d'effectuer une injection de code indirecte.
Description
Plusieurs vulnérabilités ont été découvertes dans Cisco ASA Software :
- un manque de restriction à l'accès au Document Object Model (DOM) permet à une personne malintentionnée d'effectuer une injection de code indirecte ;
- un manque de contrôle sur le paramètre Rot13-encoded permet à une personne malintentionnée d'effectuer une injection de code indirecte ;
- un manque de contrôle et d'alerte lors de l'utilisation de Common Internet File System (CIFS) et des partages FTP permet à une personne malintentionnée de voler les données d'identification d'un utilisateur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin d'alerte Cisco 18373 du 24 juin 2009 :
http://tools.cisco.com/security/center/viewAlert.x?alertId=18373
- Bulletin d'alerte Cisco 18442 du 24 juin 2009 :
http://tools.cisco.com/security/center/viewAlert.x?alertId=18442
- Bulletin d'alerte Cisco 18536 du 24 juin 2009 :
http://tools.cisco.com/security/center/viewAlert.x?alertId=18536
- Référence CVE CVE-2009-1201 :
https://www.cve.org/CVERecord?id=CVE-2009-1201
- Référence CVE CVE-2009-1202 :
https://www.cve.org/CVERecord?id=CVE-2009-1202
- Référence CVE CVE-2009-1203 :
https://www.cve.org/CVERecord?id=CVE-2009-1203
