De multiples vulnérabilités ont été identifiées dans les produits Cisco.
Elles permettent à un attaquant de provoquer un déni de service à distance et de procéder à une élévation de privilèges.
Impact
- Déni de service à distance
- Elévation de privilèges
Existence d’un code d’exploitation de la vulnérabilité
Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Cisco Unified Customer Voice Portal (CVP) versions 10.5, 11.0 et 11.5
- Cisco AsyncOS pour Cisco Email Security Appliances sans le dernier correctif de sécurité
- Small Business 300 Series Managed Switches versions antérieures à 1.4.8.06
- Small Business 500 Series Stackable Managed Switches versions antérieures à 1.4.8.06
- ESW2 Series Advanced Switches versions antérieures à 1.4.8.06
- 350 Series Managed Switches versions antérieures à 2.3.0.130
- 350X Series Stackable Managed Switches versions antérieures à 2.3.0.130
- 550X Series Stackable Managed Switches versions antérieures à 2.3.0.130
CVE
- CVE-2017-12214
- CVE-2017-12215
- CVE-2017-6720
Correctifs
Des correctifs de sécurité ont été publiés par l’éditeur :
- Pour les produits « Voice Portal Cisco Unified Customer », les vulnérabilités ont été corrigées dans la version 11.6 du logiciel.
- Pour les produits « Cisco Email Security Appliance », les vulnérabilités ont été corrigées dans les versions 9.8.1, 10.0.2-20 et ultérieures.
- Pour les produits « Cisco Small Business Managed Switches» et « Cisco ESW2 Series Advanced Switches », les vulnérabilités ont été corrigées dans la version 1.4.8.06 du logiciel.
- Pour les produits « Cisco 350 Series Managed Switches », « Cisco 350X Series Stackable Managed Switches » et « Cisco 550X Series Stackable Managed Switches », les vulnérabilités ont été corrigées dans la version 2.3.0.130 du logiciel.
Solution de contournement
Aucune solution de contournement n’a été identifiée à ce jour.