S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 mai 2016
N° CERTFR-2016-AVI-153
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence CERTFR-2016-AVI-153
Titre Multiples vulnérabilités dans les produits Cisco
Date de la première version 06 mai 2016
Date de la dernière version 06 mai 2016
Source(s) Bulletin de sécurité Cisco cisco-sa-20160428-apic du 28 avril 2016
Bulletin de sécurité Cisco cisco-sa-20160428-cis du 28 avril 2016
Bulletin de sécurité Cisco cisco-sa-20160428-cwms du 28 avril 2016
Bulletin de sécurité Cisco cisco-sa-20160428-ntpd du 28 avril 2016
Bulletin de sécurité Cisco cisco-sa-20160503-pca du 03 mai 2016
Bulletin de sécurité Cisco cisco-sa-20160504-finesse du 04 mai 2016
Bulletin de sécurité Cisco cisco-sa-20160504-firepower du 04 mai 2016
Bulletin de sécurité Cisco cisco-sa-20160504-fpkern du 04 mai 2016
Bulletin de sécurité Cisco cisco-sa-20160504-openssl du 04 mai 2016
Bulletin de sécurité Cisco cisco-sa-20160504-tpxml du 04 mai 2016
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance

Systèmes affectés

  • Cisco APIC-EM version 1.0(1)
  • Cisco ASA 5585-X FirePOWER SSP versions 5.3.1.x antérieures à 5.3.1.7
  • Cisco ASA 5585-X FirePOWER SSP versions 5.4.0.x antérieures à 5.4.0.7
  • Cisco ASA 5585-X FirePOWER SSP versions 5.4.1.x antérieures à 5.4.1.6
  • Cisco ASA 5585-X FirePOWER SSP versions 6.0.x antérieures à 6.0.1
  • Cisco Finesse
  • Cisco FirePOWER versions 5.3.x antérieures à 5.3.0.7
  • Cisco FirePOWER versions 5.4.x antérieures à 5.4.0.4
  • Cisco Information Server version 6.2
  • Cisco Prime Collaboration Assurance Software versions 10.5 à 11.0
  • Cisco TelePresence EX Series, Integrator C Series, MX Series, Profile Series, SX Series, SX Quick Set Series, VX Clinical Assistant et VX Tactical exécutant les versions suivantes : TC 7.2.0, TC 7.2.1, TC 7.3.0, TC 7.3.1, TC 7.3.2, TC 7.3.3, TC 7.3.4, TC 7.3.5, CE 8.0.0, CE 8.0.1, ou CE 8.1.0
  • Cisco WebEx Meetings Server version 2.6
  • Voir sur le site du constructeur pour les systèmes affectés par les vulnérabilités du Network Time Protocol Daemon (cf. section Documentation)

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Cisco. Elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 mai 2016
    version initiale.