Risque
- Atteinte à la confidentialité des données ;
- élévation de privilèges.
Systèmes affectés
- Cisco SA520 ;
- Cisco SA520W ;
- Cisco SA540.
Résumé
Deux vulnérabilités dans les produits Cisco SA 500 Series Security Appliances permettent à une personne malintentionnée soit d'élever ses privilèges, soit de porter atteinte à la confidentialité des données.
Description
Deux vulnérabilités dans les produits Cisco SA 500 Series Security Appliances ont été découvertes :
- la première permet à une personne distante non authentifiée de porter atteinte à la confidentialité des données d'identification via une injection de code SQL (CVE-2011-2546) ;
- la seconde permet à un utilisateur authentifié d'élever ses privilèges sur le système par l'envoi de paramètres spécifiques via des formulaires web (CVE-2011-2547).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco 20110720-sa500 du 20 juillet 2011 :
http://www.cisco.com/warp/public/707/cisco-sa-20110720-sa500.shtml
- Référence CVE CVE-2011-2546 :
https://www.cve.org/CVERecord?id=CVE-2011-2546
- Référence CVE CVE-2011-2547 :
https://www.cve.org/CVERecord?id=CVE-2011-2547