S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 mai 2006
N° CERTA-2006-AVI-201
Affaire suivie par: CERT-FR
le 16 mai 2006

Avis du CERT-FR

Objet: Vulnérabilité dans Cisco AVS

Gestion du document

Référence CERTA-2006-AVI-201
Titre Vulnérabilité dans Cisco AVS
Date de la première version 16 mai 2006
Date de la dernière version 16 mai 2006
Source(s) Bulletin de sécurité CISCO 20060510-avs
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • AVS 3110 versions 4.0 et 5.0 ;
  • AVS 3120 version 5.0.0.

Résumé

Une vulnérabilité présente sur Cisco AVS (Application Velocity System's) peut être exploitée par un utilisateur mal intentionné pour contourner la politique de sécurité via une requête HTTP malicieusement construite.

Description

Une vulnérabilité est présente dans la configuration par défaut de Cisco AVS. Un utilisateur mal intentionné peut exploiter, via une requête HTTP malveillante, le système vulnérable et l'utiliser comme serveur mandataire (proxy) transparent pour accéder à des ports de destination arbitraires.
Un changement dans la configuration par défaut permet de ne plus être vulnérable.

La version 5.0.1 n'est pas impactée par cette vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 mai 2006
    version initiale.