Avis du CERT-FR

Objet: Vulnérabilité CISCO

Gestion du document

Référence	CERTA-2007-AVI-191
Titre	Vulnérabilité CISCO
Date de la première version	26 avril 2007
Date de la dernière version	26 avril 2007
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire.

Systèmes affectés

CISCO Network Analysis Modules 6000, 6500, 7600 ;
CISCO Unified Application Environment versions 2.x ;
CISCO Hosting Solution Engine versions 1.x ;
CISCO Hosting Solution Software versions 1.x.

Résumé

Une vulnérabilité présente dans plusieurs produits CISCO pourrait conduire à l'exécution de code arbitraire sur des produits vulnérables. Cette vulnérabilité provient du module PHP et plus particulièrement des fonctions htmlentities() et htmlspecialchars() qui ne gèrent pas correctement des données mal formées provoquant ainsi un débordement de tampon.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Cisco ID 82377 du 25 avril 2007 :

http://www.cisco.com/warp/public/707/cisco-sr-20070425-http.shtml

Référence CVE CAN-2006-5465 :

https://www.cve.org/CVERecord?id=CAN-2006-5495

Gestion détaillée du document

le 26 avril 2007: version initiale.