Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance
Systèmes affectés
- Centre de gestion Cisco FireSIGHT s'exécutant sur les systèmes Cisco FireSIGHT versions 6.0.0 et 6.0.1
- Cisco ASA version 8.4
- Cisco Web Security Appliance (WSA) version 8.5.3-055
- Cisco Web Security Appliance (WSA) version 9.1.0-000
- Cisco Web Security Appliance (WSA) version 9.5.0-235
Résumé
De multiples vulnérabilités ont été corrigées dans les produits Cisco. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-20160115-FireSIGHT du 15 janvier 2016 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160115-FireSIGHT
- Bulletin de sécurité Cisco cisco-sa-20160115-asa du 15 janvier 2016 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160115-asa
- Bulletin de sécurité Cisco cisco-sa-20160115-fmc1 du 15 janvier 2016 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160115-fmc1
- Bulletin de sécurité Cisco cisco-sa-20160119-wsa du 19 janvier 2016 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160119-wsa
- Référence CVE CVE-2016-1293 https://www.cve.org/CVERecord?id=CVE-2016-1293
- Référence CVE CVE-2016-1294 https://www.cve.org/CVERecord?id=CVE-2016-1294
- Référence CVE CVE-2016-1295 https://www.cve.org/CVERecord?id=CVE-2016-1295
- Référence CVE CVE-2016-1296 https://www.cve.org/CVERecord?id=CVE-2016-1296
