S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 juillet 2006
N° CERTA-2006-AVI-292
Affaire suivie par: CERT-FR
le 13 juillet 2006

Avis du CERT-FR

Objet: Vulnérabilité sur Cisco Router Web Setup (CWRS)

Gestion du document

Référence CERTA-2006-AVI-292
Titre Vulnérabilité sur Cisco Router Web Setup (CWRS)
Date de la première version 13 juillet 2006
Date de la dernière version 13 juillet 2006
Source(s) Bulletin de sécurité CISCO
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service ;
  • élévation de privilèges.

Systèmes affectés

Tous les routeurs Cisco avec une version IOS antérieure à la version 3.3.0 build 31.

Résumé

Une vulnérabilité sur l'application Cisco Router Web Setup (CWRS) peut être exploitée par un utilisateur mal intentionné pour exécuter du code arbitraire sur un routeur ayant la configuration par défaut du routeur et la version vulnérable de l'IOS.

Description

L'application CWRS est une application graphique destinée à configurer les routeurs Cisco series 800 et Cisco SOHO. Cette application est appelée à partir du serveur web CISCO IOS HTTP.

Une vulnérabilité sur l'authentification par défaut (login / mot de passe) sur le logiciel CWRS peut être exploitée par un utilisateur mal intentionné pour exécuter des commandes arbitraires avec les privilèges de niveau 15 (les privilèges de niveau 15 étant les plus hauts privilèges sur un produit géré par Cisco IOS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 juillet 2006
    version initiale.