{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Routeurs CISCO de la s\u00e9rie 12000 uniquement.</P>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s concernant les ACL sur les routeurs CISCO de la\ns\u00e9rie 12000 sont \u00e0 corriger.\n\n-   Les ACL ne permettent de bloquer que le premier \u00e9l\u00e9ment d'un paquet\n    fragment\u00e9. Il est donc possible de contourner les r\u00e8gles de s\u00e9curit\u00e9\n    du routeur en dissimulant du trafic malveillant dans certains des\n    fragments.\n\n-   Le mot cl\u00e9 fragment dans les ACL est ignor\u00e9 si le paquet est destin\u00e9\n    au routeur lui m\u00eame. Le routeur n'est donc pas prot\u00e9g\u00e9 par ses ACL.\n\n-   Ce mot cl\u00e9 est ignor\u00e9 dans les ACL s'appliquant aux paquets\n    sortants, une r\u00e8gle contenant ce mot cl\u00e9 ne s'applique que sur les\n    paquets entrants.\n\n    Il peut m\u00eame arriver que ce mot cl\u00e9 soit ignor\u00e9 dans tous les cas.\n\n-   Une r\u00e8gle implicite deny ip any any plac\u00e9e en fin d'une ACL\n    d'exactement 448 entr\u00e9es appliqu\u00e9e \u00e0 une interface (contr\u00f4le d'acc\u00e8s\n    du trafic sortant) sera ignor\u00e9e.\n\n-   Une ACL risque de ne pas bloquer certains paquets du trafic sortant,\n    si une autre liste concernant le trafic entrant existe mais n'est\n    pas appliqu\u00e9e \u00e0 toutes les interfaces d'un syst\u00e8me de type Engine 2\n    uniquement.\n\n## Solution\n\nAppliquer les correctifs comme indiqu\u00e9 dans l'avis de CISCO. (cf.\nSection Documentation)\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 de CISCO :","url":"http://www.cico.com/warp/public/707/GSR-ACL-pub.shtml"}],"reference":"CERTA-2001-AVI-144","revisions":[{"description":"version initiale.","revision_date":"2001-11-20T00:00:00.000000"}],"risks":[{"description":"Contournement des r\u00e8gles de filtrage des routeurs"}],"summary":"Sur les CISCO de la s\u00e9rie 12000, dans certaines conditions, les ACL\n(Liste de Contr\u00f4les d'Acc\u00e8s) mises en place ne sont pas correctement\nprises en compte.\n","title":"Vuln\u00e9rabilit\u00e9s li\u00e9es aux ACL dans les routeurs CISCO 12000","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 CISCO","url":null}]}