AVIS CERTFR - 2018 - AVI - 076

AVIS CERT
CERT-FR

Publié le 8 février 2018 à 18h01 - Mis à jour le 12 février 2018 à 11h31

Objet : Multiples vulnérabilités dans les produits Cisco  

Référence : CERTFR-2018-AVI-076

Risque(s)  

- Exécution de code arbitraire à distance  
- Déni de service à distance  
- Contournement de la politique de sécurité  

Systèmes affectés  

- Cisco Virtualized Packet Core−Distributed Instance (VPC−DI) exécutant toutes versions de Cisco StarOS antérieures à une version bénéficiant du correctif de sécurité (se référer au bulletin de sécurité du constructeur)  
- Cisco UCS Central Software versions antérieures à 2.0(1c)  
- Toutes les versions du microgiciel pour les produits RV132W ADSL2+ Wireless-N VPN Router et RV134W VDSL2 Wireless-AC VPN Router  
- Cisco Policy Suite exécutant une version antérieure à 13.1.0 Hotfix Patch 1 avec l'authentification RADIUS configurée pour un domaine  
- Cisco Policy Suite exécutant une version 14.0.0  

Résumé  

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution  

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).  

Documentation  

- Bulletin de sécurité Cisco cisco-sa-20180207-vpcdi du 7 février 2018  
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-vpcdi  
- Bulletin de sécurité Cisco cisco-sa-20180207-ucsc du 7 février 2018  
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-ucsc  
- Bulletin de sécurité Cisco cisco-sa-20180207-rv13x du 7 février 2018  
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-rv13x  
- Bulletin de sécurité Cisco cisco-sa-20180207-cps du 7 février 2018  
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180207-cps  
- Référence CVE CVE-2018-0116  
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0116  
- Référence CVE CVE-2018-0125  
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0125  
- Référence CVE CVE-2018-0113  
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0113  
- Référence CVE CVE-2018-0117  
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0117  

Dernière version de ce document: https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-076/