S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 septembre 2022
N° CERTFR-2022-AVI-863
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence CERTFR-2022-AVI-863
Titre Multiples vulnérabilités dans les produits Cisco
Date de la première version29 septembre 2022
Date de la dernière version29 septembre 2022
Source(s) Bulletin de sécurité Cisco cisco-sa-alg-dos-KU9Z8kFX du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-ap-assoc-dos-EgVqtON8 du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-c9800-mob-dos-342YAc6J du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-ewc-priv-esc-nderYLtK du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-ios-xe-cat-verify-D4NEQA6q du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-iosxe-6vpe-dos-tJBtf5Zv du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-iosxe-cip-dos-9rTbKLt9 du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-iosxe-mpls-dos-Ab4OUL3 du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-sd-wan-priv-E6e8tEdF du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-ssh-excpt-dos-FzOBQTnk du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-wlc-dhcp-dos-76pCjPxK du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-wlc-dos-mKGRrsCB du 28 septembre 2022
Bulletin de sécurité Cisco cisco-sa-wlc-udp-dos-XDyEwhNz du 28 septembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

  • ASR gamme 1000 Embedded Services Processors models ESP 100-X et ESP 200-X
  • Catalyst 9800 Embedded Wireless Controllers pour les gammes Catalyst 9300, 9400, et 9500 sans le dernier correctif de Cisco IOS XE
  • Catalyst 9800-CL Wireless Controllers pour Cloud sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 3650 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 3850 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 8500 Edge Platforms models C8500-12X4QC et C8500-12X
  • Catalyst gamme 9100 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 9300 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 9400 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 9500 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 9600 sans le dernier correctif de Cisco IOS XE
  • Catalyst gamme 9800 Wireless Controllers sans le dernier correctif de Cisco IOS XE
  • Cisco IOS sans le dernier correctif
  • Cisco IOS XE sans le dernier correctif
  • Cisco SD-WAN versions 20.7.x antérieures à 20.7.2
  • Cisco SD-WAN versions 20.8.x antérieures à 20.8.1
  • Cisco SD-WAN versions antérieures à 20.6.4
  • Cisco WLC AireOS versions antérieures à 8.10.171.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 septembre 2022
    Version initiale