Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - AVI - 371

AVIS CERTFR - 2022 - AVI - 371

Objet : Multiples vulnérabilités dans les produits Cisco

Référence : CERTFR-2022-AVI-371

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- Cisco Virtualized Infrastructure Manager (VIM) Software versions 4.x.x antérieures à 4.2.2
- Cisco Umbrella Virtual Appliance Software Release versions 3.3.x antérieures à 3.3.2
- Cisco TelePresence CE Software Release versions 9.x antérieures à 9.15.10.8
- Cisco TelePresence CE Software Release versions 10.x antérieures à 10.11.2.2

Un correctif n'est pas prévu pour Cisco VIM versions antérieures à 3.6. L'éditeur préconise de mettre à jour à la version 4.2.2.
Un correctif n'est pas prévu pour Cisco Umbrella Virtual Appliance versions antérieures à 3.2. L'éditeur préconise de mettre à jour à la version 3.3.2.
Un correctif n'est pas prévu pour Cisco TelePresence CE versions antérieures à 9. L'éditeur préconise de mettre à jour vers une version corrigeant la vulnérabilité.

- Cisco CX Cloud Agent Software versions antérieures à 2.1.0 (publication du correctif prévue pour le 20 avril 2022)
- Cisco Automated Subsea Tuning versions antérieures à 2.1.0 (publication du correctif prévue pour le 31 mai 2022)
- Cisco Crosswork Network Controller versions antérieures à 3.0.2 ou 2.0.2 (publication des correctifs prévue pour le 29 avril 2022)
- Cisco Crosswork Optimization Engine versions antérieures à 3.1.1 ou 2.1.1 (publication des correctifs prévue pour le 1er mai 2022)
- Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 3.0.2 (publication du correctif prévue pour le 29 avril 2022)
- Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 2.0.2 (publication du correctif prévue pour le 20 avril 2022)
- Cisco Evolved Programmable Network Manager versions antérieures à 6.0.1.1, 5.1.4.1 ou 5.0.2.3 (publication des correctifs prévue pour le 29 avril 2022)
- Cisco Managed Services Accelerator (MSX) versions antérieures à 4.2.3 (publication du correctif prévue pour le 27 avril 2022)
- Cisco Optical Network Planner versions antérieures à 5.0 (publication du correctif prévue pour le 30 août 2022)
- Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
- Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
- Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
- Cisco WAN Automation Engine (WAE) versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
- Cisco WAN Automation Engine (WAE) versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
- Cisco WAN Automation Engine (WAE) versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
- Data Center Network Manager (DCNM) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
- Nexus Dashboard Fabric Controller (NDFC) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
- Cisco Optical Network Controller versions antérieures à 2.0 (publication du correctif prévue pour le 31 mai 2022)
- Cisco Enterprise Chat and Email versions antérieures à 12.0 ou 12.5 (publication des correctifs prévue pour le 30 mai 2022)
- Cisco Enterprise Chat and Email versions antérieures à 12.6 ES2 (publication des correctifs prévue pour le 15 mai 2022)
- Cisco Meeting Server versions antérieures à 3.5.0 (publication des correctifs prévue pour le 30 avril 2022)
- Cisco Meeting Server versions antérieures à 3.4.2 (publication des correctifs prévue pour le 31 mai 2022)
- Cisco Meeting Server versions antérieures à 3.3.3 (publication des correctifs prévue pour le 17 juin 2022)
- Cisco DNA Center toutes versions (pas d'annonce sur la disponibilité du correctif)
- Cisco Software-Defined AVC (SD-AVC) toutes versions (pas d'annonce sur la disponibilité du correctif)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Cisco sa-ce-roomos-dos-c65x2Qf2 du 20 avril 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ce-roomos-dos-c65x2Qf2  
- Bulletin de sécurité Cisco sa-uva-static-key-6RQTRs4c du 20 avril 2022 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uva-static-key-6RQTRs4c  
- Bulletin de sécurité Cisco sa-vim-privesc-T2tsFUf du 20 avril 2022 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vim-privesc-T2tsFUf  
- Bulletin de sécurité Cisco sa-java-spring-rce-Zx9GUc67 du 01 avril 2022
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67  
- Référence CVE CVE-2022-20783
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20783  
- Référence CVE CVE-2022-20773
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20773  
- Référence CVE CVE-2022-20732
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20732  
- Référence CVE CVE-2022-22965
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22965  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-371/  

 

AVIS CERTFR - 2022 - AVI - 496

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de Red HatRéférence : CERTFR-2022-AVI-496Risque(s)- Exécution de code arbitraire à distanceSys... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 495

25 mai 2022
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de UbuntuRéférence : CERTFR-2022-AVI-495Risque(s) - Exécution de code arbitraire - Déni de ser... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-AVI-371