Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- SD-WAN versions antérieures à 20.1.2
- SD-WAN versions antérieures à 20.3.2
- application Webex Meetings Desktop pour Windows 40.6.x versions antérieures à 40.6.9
- application Webex Meetings Desktop pour Windows 40.8.x versions antérieures à 40.8.9
- Webex Meetings sites 40.6.x versions antérieures à 40.6.11
- Webex Meetings sites 40.8.x versions antérieures à 40.8.0
- Webex Meetings Server 3.x versions antérieures à 3.0MR3 SP4
- Webex Meetings Server 4.x versions antérieures à 4.0MR3 SP4
- application Cisco AnyConnect Secure Mobility toutes versions avec les options "Auto Update" et "Enable Scripting" activées
- Cisco IOS XR pour ASR 9000 versions antérieures à 6.5.2 avec une version de BIOS antérieure à 10.65, 14.35, 16.14, 17.34, 22.20, 30.23 ou 31.20 en fonction du matériel
- Cisco IOS XR pour NCS 1000 versions antérieures à 7.1.1 avec une version de BIOS antérieure à 14.60
- Cisco IOS XR pour NCS 540 versions antérieures à 7.2.1 avec une version de BIOS antérieure à 1.15
- Cisco IOS XR pour NCS 560 versions antérieures à 6.6.3, 6.6.24 et 7.0.2 avec une version de BIOS antérieure à 0.14
- Cisco IOS XR pour NCS 5000 versions antérieures à 7.2.1 avec une version de BIOS antérieure à 1.13 ou 1.14 en fonction du matériel
- Cisco IOS XR pour NCS 5500 versions antérieures à 6.6.3 et 6.6.24 avec une version de BIOS antérieure à 9.30, 1.21 ou 1.12 en fonction du matériel
Les versions SD-WAN 18.x et 19.x sont également affectées et doivent faire l'objet d'une mise à jour vers les versions ci-dessus.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-webex-vdi-qQrpBwuJ du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-vdi-qQrpBwuJ - Bulletin de sécurité Cisco cisco-sa-webex-nbr-NOS6FQ24 du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-nbr-NOS6FQ24 - Bulletin de sécurité Cisco cisco-sa-vsoln-arbfile-gtsEYxns du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vsoln-arbfile-gtsEYxns - Bulletin de sécurité Cisco cisco-sa-voip-phone-flood-dos-YnU9EXOv du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phone-flood-dos-YnU9EXOv - Bulletin de sécurité Cisco cisco-sa-vmanage-escalation-Jhqs5Skf du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-escalation-Jhqs5Skf - Bulletin de sécurité Cisco cisco-sa-vman-traversal-hQh24tmk du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-escalation-Jhqs5Skf - Bulletin de sécurité Cisco cisco-sa-vepestd-8C3J9Vc du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vepestd-8C3J9Vc - Bulletin de sécurité Cisco cisco-sa-vepeshlg-tJghOQcA du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vepeshlg-tJghOQcA - Bulletin de sécurité Cisco cisco-sa-vepescm-BjgQm4vJ du 04 novembre 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vepescm-BjgQm4vJ - Bulletin de sécurité Cisco cisco-sa-vepegr-4xynYLUj du 04 février 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vepegr-4xynYLUj - Bulletin de sécurité Cisco cisco-sa-iosxr-pxe-unsign-code-exec-qAa78fD2 du 04 février 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-pxe-unsign-code-exec-qAa78fD2 - Bulletin de sécurité Cisco cisco-sa-anyconnect-ipc-KfQO9QhK du 04 février 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-ipc-KfQO9QhK - Référence CVE CVE-2020-3588
https://www.cve.org/CVERecord?id=CVE-2020-3588 - Référence CVE CVE-2020-3573
https://www.cve.org/CVERecord?id=CVE-2020-3573 - Référence CVE CVE-2020-3603
https://www.cve.org/CVERecord?id=CVE-2020-3603 - Référence CVE CVE-2020-3604
https://www.cve.org/CVERecord?id=CVE-2020-3604 - Référence CVE CVE-2020-26071
https://www.cve.org/CVERecord?id=CVE-2020-26071 - Référence CVE CVE-2020-3574
https://www.cve.org/CVERecord?id=CVE-2020-3574 - Référence CVE CVE-2020-26074
https://www.cve.org/CVERecord?id=CVE-2020-26074 - Référence CVE CVE-2020-26073
https://www.cve.org/CVERecord?id=CVE-2020-26073 - Référence CVE CVE-2020-3600
https://www.cve.org/CVERecord?id=CVE-2020-3600 - Référence CVE CVE-2020-3593
https://www.cve.org/CVERecord?id=CVE-2020-3593 - Référence CVE CVE-2020-3595
https://www.cve.org/CVERecord?id=CVE-2020-3595 - Référence CVE CVE-2020-3284
https://www.cve.org/CVERecord?id=CVE-2020-3284 - Référence CVE CVE-2020-3556
https://www.cve.org/CVERecord?id=CVE-2020-3556
