AVIS CERTFR - 2023 - AVI - 0327

AVIS CERT

CERT-FR

Publié le 20 avril 2023 à 18h07 - Mis à jour le 20 avril 2023 à 18h10

Objet : Multiples vulnérabilités dans les produits Cisco

Référence : CERTFR-2023-AVI-0327

Risque(s)

- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges

Systèmes affectés

- Cisco StarOS versions 21.22.x antérieures à 21.22.14
- Cisco StarOS versions 21.22.nx antérieures à 21.22.n14
- Cisco StarOS versions 21.23.x antérieures à 21.23.31
- Cisco StarOS 21.23.nx antérieures à 21.23.n12
- Cisco StarOS 21.24 (correctif prévu pour mai 2023)
- Cisco StarOS versions 21.25.x antérieures à 21.25.15
- Cisco StarOS versions 21.26.x antérieures à 21.26.17
- Cisco StarOS versions 21.27.x antérieures à 21.27.6
- Cisco StarOS versions 21.27.mx antérieures à 21.27.m1
- Cisco StarOS versions 21.28.x antérieures à 21.28.3
- Cisco StarOS versions 21.28.mx antérieures à 21.28.m4
- Cisco IND versions antérieures à 1.11.3
- Cisco Modeling Labs versions 2.3.x à 2.5.x antérieures à 2.5.1
- Cisco BroadWorks Network Server versions 22.0 à 23.0 sans le correctif de sécurité AP.ns.23.0.1075.ap385072.Linux-x86_64.zip
- Cisco BroadWorks Network Server sans le correctif de sécurité RI.2023.02

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer un déni de service à distance, une exécution de code arbitraire à distance, une atteinte à la confidentialité des données, une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Cisco cisco-sa-staros-ssh-privesc-BmWeJC3h du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-staros-ssh-privesc-BmWeJC3h

- Bulletin de sécurité Cisco cisco-sa-ind-CAeLFk6V du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-CAeLFk6V

- Bulletin de sécurité Cisco cisco-sa-cml-auth-bypass-4fUCCeG5 du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5

- Bulletin de sécurité Cisco cisco-sa-bw-tcp-dos-KEdJCxLs du 19 avril 2023

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-tcp-dos-KEdJCxLs

- Référence CVE CVE-2023-20036

https://www.cve.org/CVERecord?id=CVE-2023-20036

- Référence CVE CVE-2023-20039

https://www.cve.org/CVERecord?id=CVE-2023-20039

- Référence CVE CVE-2023-20046

https://www.cve.org/CVERecord?id=CVE-2023-20046

- Référence CVE CVE-2023-20125

https://www.cve.org/CVERecord?id=CVE-2023-20125

- Référence CVE CVE-2023-20154

https://www.cve.org/CVERecord?id=CVE-2023-20154

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0327/