Cisco corrige une vulnérabilité importante dans le mécanisme de sécurité AAA du logiciel Cisco IOS XE

Cisco corrige une vulnérabilité critique dans les services de sécurité AAA (Authentification, Authorization, Accounting) du logiciel Cisco IOS XE. Une exploitation réussie de cette vulnérabilité permettrait à un attaquant distant non authentifié d'exécuter du code arbitraire sur un appareil ou de le redémarrer, ce qui pourrait provoquer un déni de service. Cette vulnérabilité est due au logiciel, qui effectue des opérations de mémoire incorrectes lorsqu'il analyse un nom d'utilisateur pendant l'authentification utilisateur.

Informations
+

Impact

  • Exécution de code arbitraire,
  • Disponibilité.

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • HPE Intelligent Management Center (IMC) SOM 7.3 E0501

CVE

  • CVE-2018-0315

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par Cisco corrigeant la vulnérabilité.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.
  • Une mesure d&#039atténuation est détaillée par Cisco. Elle consiste à réduire le nombre de sessions d&#039administrations sur l&#039appareil. Cisco détaille la procédure ici.