Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Cisco Virtualized Infrastructure Manager (VIM) Software versions 4.x.x antérieures à 4.2.2
  • Cisco Umbrella Virtual Appliance Software Release versions 3.3.x antérieures à 3.3.2
  • Cisco TelePresence CE Software Release versions 9.x antérieures à 9.15.10.8
  • Cisco TelePresence CE Software Release versions 10.x antérieures à 10.11.2.2

Un correctif n'est pas prévu pour Cisco VIM versions antérieures à 3.6. L'éditeur préconise de mettre à jour à la version 4.2.2.
Un correctif n'est pas prévu pour Cisco Umbrella Virtual Appliance versions antérieures à 3.2. L'éditeur préconise de mettre à jour à la version 3.3.2.
Un correctif n'est pas prévu pour Cisco TelePresence CE versions antérieures à 9. L'éditeur préconise de mettre à jour vers une version corrigeant la vulnérabilité.

  • Cisco CX Cloud Agent Software versions antérieures à 2.1.0 (publication du correctif prévue pour le 20 avril 2022)
  • Cisco Automated Subsea Tuning versions antérieures à 2.1.0 (publication du correctif prévue pour le 31 mai 2022)
  • Cisco Crosswork Network Controller versions antérieures à 3.0.2 ou 2.0.2 (publication des correctifs prévue pour le 29 avril 2022)
  • Cisco Crosswork Optimization Engine versions antérieures à 3.1.1 ou 2.1.1 (publication des correctifs prévue pour le 1er mai 2022)
  • Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 3.0.2 (publication du correctif prévue pour le 29 avril 2022)
  • Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 2.0.2 (publication du correctif prévue pour le 20 avril 2022)
  • Cisco Evolved Programmable Network Manager versions antérieures à 6.0.1.1, 5.1.4.1 ou 5.0.2.3 (publication des correctifs prévue pour le 29 avril 2022)
  • Cisco Managed Services Accelerator (MSX) versions antérieures à 4.2.3 (publication du correctif prévue pour le 27 avril 2022)
  • Cisco Optical Network Planner versions antérieures à 5.0 (publication du correctif prévue pour le 30 août 2022)
  • Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
  • Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
  • Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
  • Cisco WAN Automation Engine (WAE) versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
  • Cisco WAN Automation Engine (WAE) versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
  • Cisco WAN Automation Engine (WAE) versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
  • Data Center Network Manager (DCNM) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
  • Nexus Dashboard Fabric Controller (NDFC) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
  • Cisco Optical Network Controller versions antérieures à 2.0 (publication du correctif prévue pour le 31 mai 2022)
  • Cisco Enterprise Chat and Email versions antérieures à 12.0 ou 12.5 (publication des correctifs prévue pour le 30 mai 2022)
  • Cisco Enterprise Chat and Email versions antérieures à 12.6 ES2 (publication des correctifs prévue pour le 15 mai 2022)
  • Cisco Meeting Server versions antérieures à 3.5.0 (publication des correctifs prévue pour le 30 avril 2022)
  • Cisco Meeting Server versions antérieures à 3.4.2 (publication des correctifs prévue pour le 31 mai 2022)
  • Cisco Meeting Server versions antérieures à 3.3.3 (publication des correctifs prévue pour le 17 juin 2022)
  • Cisco DNA Center toutes versions (pas d'annonce sur la disponibilité du correctif)
  • Cisco Software-Defined AVC (SD-AVC) toutes versions (pas d'annonce sur la disponibilité du correctif)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation