S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 juin 2019
N° CERTFR-2019-AVI-284
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence CERTFR-2019-AVI-284
Titre Multiples vulnérabilités dans les produits Cisco
Date de la première version20 juin 2019
Date de la dernière version20 juin 2019
Source(s) Bulletin de sécurité Cisco cisco-sa-20190619-cms-codex du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-dnac-bypass du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-psc-csrf du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-rvrouters-dos du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-sdwan-cmdinj du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-sdwan-privesca du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-sdwan-privilescal du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-staros-asr-dos du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-tele-shell-inj du 19 juin 2019

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Élévation de privilèges

Systèmes affectés

  • Cisco Meeting Server deployments exécutant une version logicielle antérieure à 2.2.14 et 2.3.8
  • Cisco TelePresence EX Series
  • Cisco TelePresence Integrator C Series
  • Cisco TelePresence MX Series
  • Cisco TelePresence SX Series
  • Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) exécutant une version vulnérable de Cisco StarOS
  • Cisco Virtualized Packet Core-Single Instance (VPC-SI) exécutant une version vulnérable de Cisco StarOS
  • Cisco Webex Room Series
  • Logiciel Cisco DNA Center versions antérieures à 1.3.
  • Logiciel Cisco Prime Service Catalog toutes versions antérieures à 12.1 Cumulative patch version 10
  • Logiciel vBond Orchestrator exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Logiciel vManage Network Management exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.0 et 19.1.0
  • Logiciel vSmart Controller exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Pare-feu RV110W Wireless-N VPN versions antérieures à 1.2.2.4
  • Routeur RV130W Wireless-N Multifunction VPN versions antérieures à 1.0.3.51
  • Routeur RV215W Wireless-N VPN versions antérieures à 1.3.1.4
  • Routeurs vEdge 100 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 1000 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 2000 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 5000 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge Cloud exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 juin 2019
    Version initiale