CERTFR-2023-AVI-0327 : Multiples vulnérabilités dans les produits Cisco (20 avril 2023)
Risque(s)
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- Cisco StarOS versions 21.22.x antérieures à 21.22.14
- Cisco
dir="auto">StarOS versions 21.22.nx antérieures à 21.22.n14Cisco StarOS versions 21.23.x antérieures à 21.23.31 Cisco StarOS 21.23.nx antérieures à 21.23.n12 Cisco StarOS 21.24 (correctif prévu pour mai 2023) Cisco StarOS versions 21.25.x antérieures à 21.25.15 Cisco StarOS versions 21.26.x antérieures à 21.26.17 Cisco StarOS versions 21.27.x antérieures à 21.27.6 Cisco StarOS versions 21.27.mx antérieures à 21.27.m1 Cisco StarOS versions 21.28.x antérieures à 21.28.3 Cisco StarOS versions 21.28.mx antérieures à 21.28.m4 Cisco IND versions antérieures à 1.11.3 Cisco Modeling Labs versions 2.3.x à 2.5.x antérieures à 2.5.1 Cisco BroadWorks Network Server versions 22.0 à 23.0 sans le correctif de sécurité AP.ns.23.0.1075.ap385072.Linux-x86_64.zip Cisco BroadWorks Network Server sans le correctif de sécurité RI.2023.02
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer un déni de service à distance, une exécution de code arbitraire à distance, une atteinte à la confidentialité des données, une élévation de privilèges et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-staros-ssh-privesc-BmWeJC3h du 19 avril 2023
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-ssh-privesc-BmWeJC3h - Bulletin de sécurité Cisco cisco-sa-ind-CAeLFk6V du 19 avril 2023
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V - Bulletin de sécurité Cisco cisco-sa-cml-auth-bypass-4fUCCeG5 du 19 avril 2023
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5 - Bulletin de sécurité Cisco cisco-sa-bw-tcp-dos-KEdJCxLs du 19 avril 2023
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-tcp-dos-KEdJCxLs - Référence CVE CVE-2023-20036
https://www.cve.org/CVERecord?id=CVE-2023-20036 - Référence CVE CVE-2023-20039
https://www.cve.org/CVERecord?id=CVE-2023-20039 - Référence CVE CVE-2023-20046
https://www.cve.org/CVERecord?id=CVE-2023-20046 - Référence CVE CVE-2023-20125
https://www.cve.org/CVERecord?id=CVE-2023-20125 - Référence CVE CVE-2023-20154
https://www.cve.org/CVERecord?id=CVE-2023-20154
- Vues : 358