Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • Cisco ACI Multi-Site Orchestrator versions 3.0(x) antérieures à 3.0(3m) (la version 3.0(1i) n'est pas vulnérable)
  • Cisco Application Services Engine versions 1.1(x) antérieures à 1.1(3e)
  • Cisco UCS versions 4.0(x) antérieures à 4.0(4k)
  • Cisco UCS versions 4.1(x) antérieures à 4.1(1e)
  • Les commutateurs Cisco Nexus séries 3000 et 9000 versions 9.3(5) et 9.3(6) sans le correctif nxos.CSCvw89875-n9k_ALL-1.0.0-9.3.6.lib32_n9000.rpm, disponible pour la version 9.3(6)
  • Les commutateurs Cisco Nexus séries 7000 version 8.2(6) sans les correctifs de sécurité n7000-s2-dk9.8.2.6.CSCvx15395.bin et n7700-s2-dk9.8.2.6.CSCvx15395.bin

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation