Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • SD-WAN versions antérieures à 20.1.2
  • SD-WAN versions antérieures à 20.3.2
  • application Webex Meetings Desktop pour Windows 40.6.x versions antérieures à 40.6.9
  • application Webex Meetings Desktop pour Windows 40.8.x versions antérieures à 40.8.9
  • Webex Meetings sites 40.6.x versions antérieures à 40.6.11
  • Webex Meetings sites 40.8.x versions antérieures à 40.8.0
  • Webex Meetings Server 3.x versions antérieures à 3.0MR3 SP4
  • Webex Meetings Server 4.x versions antérieures à 4.0MR3 SP4
  • application Cisco AnyConnect Secure Mobility toutes versions avec les options "Auto Update" et "Enable Scripting" activées
  • Cisco IOS XR pour ASR 9000 versions antérieures à 6.5.2 avec une version de BIOS antérieure à 10.65, 14.35, 16.14, 17.34, 22.20, 30.23 ou 31.20 en fonction du matériel
  • Cisco IOS XR pour NCS 1000 versions antérieures à 7.1.1 avec une version de BIOS antérieure à 14.60
  • Cisco IOS XR pour NCS 540 versions antérieures à 7.2.1 avec une version de BIOS antérieure à 1.15
  • Cisco IOS XR pour NCS 560 versions antérieures à 6.6.3, 6.6.24 et 7.0.2 avec une version de BIOS antérieure à 0.14
  • Cisco IOS XR pour NCS 5000 versions antérieures à 7.2.1 avec une version de BIOS antérieure à 1.13 ou 1.14 en fonction du matériel
  • Cisco IOS XR pour NCS 5500 versions antérieures à 6.6.3 et 6.6.24 avec une version de BIOS antérieure à 9.30, 1.21 ou 1.12 en fonction du matériel

Les versions SD-WAN 18.x et 19.x sont également affectées et doivent faire l'objet d'une mise à jour vers les versions ci-dessus.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation