Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- Cisco séries ENCS 5400-W avec Cisco vWAAS versions antérieures à 6.4.3e et 6.4.5a
- Cisco séries CSP 5000-W avec Cisco vWAAS versions antérieures à 6.4.3e et 6.4.5a
Note : Cisco indique qu'une mise à jour n'est pas possible à partir d'une version antérieure. Il est nécessaire d'effectuer une installation complète de la version contenant le correctif.
- Cisco SSM On-Prem versions antérieures à 8-202004
- Cisco Video Surveillance 8000 Series IP Camera versions antérieures à 1.0.9-4
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-ipcameras-rce-dos-uPyJYxN3 du 19 août 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipcameras-rce-dos-uPyJYxN3
- Bulletin de sécurité Cisco cisco-sa-smart-priv-esca-nqwxXWBu du 19 août 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smart-priv-esca-nqwxXWBu
- Bulletin de sécurité Cisco cisco-sa-waas-encsw-cspw-cred-hZzL29A7 du 19 août 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-waas-encsw-cspw-cred-hZzL29A7
- Référence CVE CVE-2020-3443 https://www.cve.org/CVERecord?id=CVE-2020-3443
- Référence CVE CVE-2020-3446 https://www.cve.org/CVERecord?id=CVE-2020-3446
- Référence CVE CVE-2020-3506 https://www.cve.org/CVERecord?id=CVE-2020-3506
- Référence CVE CVE-2020-3507 https://www.cve.org/CVERecord?id=CVE-2020-3507