Vous êtes sur le site public du Cert-IST
Failles dans des produits spécifiques de Cisco

Date :04 Octobre 2006

Publication: Article

Le 20 septembre 2006, Cisco a publié deux avis de sécurité concernant des produits non suivis par le Cert-IST. Cet article présente le détail de ces vulnérabilités.

Vulnérabilité dans l’implémentation du standard DOCSIS :

Une vulnérabilité a été découverte dans certaines versions du système Cisco IOS lorsqu’il est exécuté sous "Cisco IAD2400 series" (plate-forme de services nouvelle génération voix/données), les routeurs 1900 "Series Mobile Wireless Edge Routers" et les passerelles "Cisco VG224 Analog Phone" (plate-forme combinant une interface de type RJ21 avec un système d’exploitation Cisco IOS).

En effet, lorsque le protocole de gestion SNMP ("Simple Network Management Protocol") est activé, ces versions d'IOS contiennent un nom de communauté SNMP codé "en dur". Cet état provient du fait que ces équipements sont identifiés par erreur comme supportant les interfaces compatibles DOCSIS ("Data Over Cable Service Interface Specification").

L’implémentation du standard DOCSIS permet la transmission de données sur des media physiques utilisés par les fournisseurs de câble de télévision. La RFC 2669 définit ainsi la MIB "DOCSIS Cable Device", qui doit être supportée pour être compatible DOCSIS. Les équipements supportant DOCSIS contiennent alors un nom de communauté SNMP accessible en lecture/écriture, appelée "cable-docsis".

L’erreur est due au fait que ce nom de communauté est inclus par inadvertance dans toutes les versions vulnérables de Cisco IOS, qu’elles soient ou non compatibles DOCSIS.

Cette erreur permet à un attaquant d’utiliser ce nom de communauté pour obtenir un accès distant privilégié sur l’équipement vulnérable.

Des correctifs et des solutions palliatives sont disponibles pour cette vulnérabilité. Se reporter à l’avis Cisco mentionné ci-dessous pour obtenir le détail de ces solutions.

Pour plus d’information :


Vulnérabilité dans Cisco "Intrusion Prevention System" :

Un déni de service a été découvert dans l’interface d’administration web du logiciel Cisco "Intrusion Prevention System" (IPS), lors du traitement des paquets SSL ("Secure Socket Layer") et lors de la fragmentation des paquets.

Les versions impactées de Cisco IPS/IDS sont les versions Cisco IDS 4.1(x) antérieures à 4.1(5c) Cisco IPS 5.0(x) antérieures à 5.0(6p2) et Cisco IPS 5.1(x) antérieures à 5.1(2). Ceci inclut les produits Cisco "4200 series appliances", "IDSM2", les modules "NM-CIDS router" et les modules "ASA IPS".

Ces systèmes Cisco IPS/IDS ("Intrusion Prevention Systems" et "Intrusion Detection Systems") sont eux-mêmes une famille d’équipements de sécurité réseau, fournissant des services de prévention/détection d’attaques réseau.

Deux vulnérabilités ont été découvertes dans les systèmes Cisco IPS/IDS, à savoir :

  1. Un problème dans le traitement des paquets SSLv2 "Client Hello", entraînant l’arrêt brutal du traitement des requêtes ultérieures faites via l’interface d’administration.
  2. Un problème dans le traitement des paquets IP fragmentés, permettant à un attaquant de contourner les mécanismes de détection mis en place au niveau de l’IPS.

Des correctifs sont disponibles pour les deux vulnérabilités, ainsi qu’une solution palliative pour la première vulnérabilité. Se reporter à l’avis Cisco mentionné ci-dessous pour obtenir le détail de ces solutions.

Pour plus d’information :