S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 juin 2020
N° CERTFR-2020-AVI-340
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence CERTFR-2020-AVI-340
Titre Multiples vulnérabilités dans les produits Cisco
Date de la première version04 juin 2020
Date de la dernière version05 juin 2020
Source(s) Bulletin de sécurité Cisco cisco-sa-caf-3dXM8exv du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-cipdos-hkfTZXEx du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ikev2-9p23Jj2a du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-iot-gos-vuln-s9qS8kYL du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-iot-rce-xYRSeMNH du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-iot-udp-vds-inj-f2D5Jzrt du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-iot-vds-cmd-inj-VfJtqGhE du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-iot-vds-cred-uPMp9zbY du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-ir800-img-verif-wHhLYHjK du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ios-nxos-onepk-rce-6Hhyt4dC du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-iosxe-digsig-bypass-FYQ3bmVq du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-iosxe-ewlc-dos-TkuPVmZN du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-iosxe-fnfv9-dos-HND6Fc9u du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-iosxe-webui-rce-uk8BXcUD du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ioxPE-KgGvCAf9 du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ngwc-cmdinj-KEwWVWR du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-sip-Cv28sQw2 du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-snmp-dos-USxSyTk5 du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-ssh-dos-Un22sd2A du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-web-cmdinj2-fOnjk2LD du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-web-cmdinj3-44st5CcA du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-web-cmdinj4-S2TmH7GA du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-webui-cmdinj-zM283Zdw du 03 juin 2020
Bulletin de sécurité Cisco cisco-sa-webui-PZgQxjfG du 03 juin 2020

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Cisco IOS et IOS XE sans le dernier correctif de sécurité (voir le site du constructeur pour la liste des produits vulnérables)
  • Cisco IOS pour routeurs Cisco 809 et 829 (Industrial ISRs) sans le dernier correctif de sécurité
  • Cisco IOS pour routeurs Cisco séries CGR1000 sans le dernier correctif de sécurité
  • Cisco IOS XR versions 5.2 et 5.3
  • Cisco IOx sans le dernier correctif de sécurité (voir le site du constructeur pour la liste des produits vulnérables)
  • Cisco NX-OS sans le dernier correctif de sécurité (voir le site du constructeur pour la liste des produits vulnérables)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 04 juin 2020
    Version initiale
    le 05 juin 2020
    Correction de la date de certains avis.