Cisco corrige une vulnérabilité dans ses produits basés sur StarOS

Une vulnérabilité importante liée à une mauvaise gestion des paquets IPv4 fragmentés a été corrigée dans le logiciel Cisco StarOS, s'exécutant sur des plates-formes virtuelles. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant non-authentifié de provoquer le rechargement instantané du processus npusim et ainsi, d'entraîner un déni de service.

Le trafic réseau en attente de traitement sera supprimé durant le redémarrage du processus npusim, qui nécessite généralement moins d'une seconde.

Informations
+

Impact

  • Déni de service

Criticité

  • CVSS v3 : 8.6

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

La vulnérabilité affecte les produits suivants exécutant une version antérieure à celle corrigée de StarOS :

  • Cisco Virtualized Packet Core-Single Instance (VPC-SI) ;
  • Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) ;
  • Cisco Ultra Packet Core (UPC).

Les versions concernées de StarOS sont:

  • N5.0 (21.0) et N5.1 (21.1) ;
  • 21.3 à 21.6 ;

CVE

  • CVE-2018-0369

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par Cisco.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement publiée.