S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 juin 2019
N° CERTFR-2019-AVI-284
Affaire suivie par: CERT-FR
le 20 juin 2019

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence CERTFR-2019-AVI-284
Titre Multiples vulnérabilités dans les produits Cisco
Date de la première version 20 juin 2019
Date de la dernière version 20 juin 2019
Source(s) Bulletin de sécurité Cisco cisco-sa-20190619-tele-shell-inj du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-staros-asr-dos du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-sdwan-privilescal du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-sdwan-privesca du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-sdwan-cmdinj du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-rvrouters-dos du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-psc-csrf du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-dnac-bypass du 19 juin 2019
Bulletin de sécurité Cisco cisco-sa-20190619-cms-codex du 19 juin 2019
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Élévation de privilèges
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • Cisco TelePresence Integrator C Series
  • Cisco TelePresence EX Series
  • Cisco TelePresence MX Series
  • Cisco TelePresence SX Series
  • Cisco Webex Room Series
  • Cisco Virtualized Packet Core-Single Instance (VPC-SI) exécutant une version vulnérable de Cisco StarOS
  • Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) exécutant une version vulnérable de Cisco StarOS
  • Logiciel vBond Orchestrator exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 100 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 1000 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 2000 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge 5000 Series exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Routeurs vEdge Cloud exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Logiciel vManage Network Management exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.0 et 19.1.0
  • Logiciel vSmart Controller exécutant Cisco SD-WAN Solution versions antérieures à 18.3.6, 18.4.1 et 19.1.0
  • Pare-feu RV110W Wireless-N VPN versions antérieures à 1.2.2.4
  • Routeur RV130W Wireless-N Multifunction VPN versions antérieures à 1.0.3.51
  • Routeur RV215W Wireless-N VPN versions antérieures à 1.3.1.4
  • Logiciel Cisco Prime Service Catalog toutes versions antérieures à 12.1 Cumulative patch version 10
  • Logiciel Cisco DNA Center versions antérieures à 1.3.
  • Cisco Meeting Server deployments exécutant une version logicielle antérieure à 2.2.14 et 2.3.8

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 juin 2019
    Version initiale