Multiples vulnérabilités dans les produits Cisco

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

Cisco BroadWorks Network Server sans le correctif de sécurité RI.2023.02
Cisco BroadWorks Network Server versions 22.0 à 23.0 sans le correctif de sécurité AP.ns.23.0.1075.ap385072.Linux-x86_64.zip
Cisco IND versions antérieures à 1.11.3
Cisco Modeling Labs versions 2.3.x à 2.5.x antérieures à 2.5.1
Cisco StarOS 21.23.nx antérieures à 21.23.n12
Cisco StarOS 21.24 (correctif prévu pour mai 2023)
Cisco StarOS versions 21.22.nx antérieures à 21.22.n14
Cisco StarOS versions 21.22.x antérieures à 21.22.14
Cisco StarOS versions 21.23.x antérieures à 21.23.31
Cisco StarOS versions 21.25.x antérieures à 21.25.15
Cisco StarOS versions 21.26.x antérieures à 21.26.17
Cisco StarOS versions 21.27.mx antérieures à 21.27.m1
Cisco StarOS versions 21.27.x antérieures à 21.27.6
Cisco StarOS versions 21.28.mx antérieures à 21.28.m4
Cisco StarOS versions 21.28.x antérieures à 21.28.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer un déni de service à distance, une exécution de code arbitraire à distance, une atteinte à la confidentialité des données, une élévation de privilèges et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco cisco-sa-bw-tcp-dos-KEdJCxLs du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-tcp-dos-KEdJCxLs

Bulletin de sécurité Cisco cisco-sa-staros-ssh-privesc-BmWeJC3h du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-ssh-privesc-BmWeJC3h

Bulletin de sécurité Cisco cisco-sa-cml-auth-bypass-4fUCCeG5 du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5

Bulletin de sécurité Cisco cisco-sa-ind-CAeLFk6V du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V

Référence CVE CVE-2023-20036

https://www.cve.org/CVERecord?id=CVE-2023-20036

Référence CVE CVE-2023-20039

https://www.cve.org/CVERecord?id=CVE-2023-20039

Référence CVE CVE-2023-20046

https://www.cve.org/CVERecord?id=CVE-2023-20046

Référence CVE CVE-2023-20125

https://www.cve.org/CVERecord?id=CVE-2023-20125

Référence CVE CVE-2023-20154

https://www.cve.org/CVERecord?id=CVE-2023-20154

Référence	CERTFR-2023-AVI-0327
Titre	Multiples vulnérabilités dans les produits Cisco
Date de la première version	20 avril 2023
Date de la dernière version	20 avril 2023
Source(s)	Bulletin de sécurité Cisco cisco-sa-bw-tcp-dos-KEdJCxLs du 19 avril 2023 Bulletin de sécurité Cisco cisco-sa-cml-auth-bypass-4fUCCeG5 du 19 avril 2023 Bulletin de sécurité Cisco cisco-sa-ind-CAeLFk6V du 19 avril 2023 Bulletin de sécurité Cisco cisco-sa-staros-ssh-privesc-BmWeJC3h du 19 avril 2023
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document