S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 décembre 2010
N° CERTA-2010-AVI-625
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de produits Kerio

Gestion du document

Référence CERTA-2010-AVI-625
Titre Vulnérabilité de produits Kerio
Date de la première version21 décembre 2010
Date de la dernière version21 décembre 2010
Source(s) Bulletin de sécurité Kerio KSEC-2010-12-20-01

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Kerio Control (version 7);
  • Kerio WinRoute Firewall (versions 5 et 6) ;

Résumé

Une vulnérabilité dans des produits Kerio permet de contourner la politique de sécurité.

Description

Une vulnérabilité dans Kerio WinRoute Firewall et Kerio Control permet à un utilisateur malveillant de polluer le cache HTTP et, par ce biais, de transmettre des données malveillantes aux utilisateurs.

Le cache HTTP est desactivé dans la configuration par défaut.

Solution

Utiliser Kerio Control 7.1.0 Patch 1 et les versions postérieures.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 décembre 2010
    version initiale.