La vulnérabilité identifiée sur le pare-feu de sécurité pour réseau sans fil RV220W de Cisco serait liée à une validation insuffisante des requêtes HTTP envoyées à l'interface de gestion web du pare-feu. Elle pourrait permettre à des attaquants distants non authentifiés d’envoyer des requêtes HTTP avec du code SQL dans leurs en-têtes. Les attaquants pourraient ainsi contourner l'authentification sur les périphériques ciblés et gagner des privilèges d’administration. La version 1.0.7.2 du firmware des appareils RV220W corrige cette vulnérabilité. Mais il est possible d’appliquer certaines solutions alternatives manuelles, comme désactiver la gestion à distance ou limiter la plage d’adresses IP à des adresses spécifiques.
L’équipementier a également corrigé des vulnérabilités de déni de service de gravité forte et moyenne, dans les appliances et les modules Cisco Wide Area Application Service (WAAS), dans les commutateurs de la série Cisco Small Business 500 et le commutateur géré SG300. Une vulnérabilité cross-site scripting a également été corrigée dans l'interface de gestion web de Cisco Unity Connection. Enfin, l’équipementier a importé des patches dans le démon Network Time Protocol (ntpd) pour réparer 12 vulnérabilités corrigées le 19 janvier par la Network Time Foundation. Ces failles dans le protocole de synchronisation des horloges d’Internet peuvent être exploitées par des attaquants pour modifier l’heure sur les appareils ou pour faire planter le processus ntpd. Un bon réglage de l’heure du système est très important pour certaines opérations, notamment pour les opérations de sécurité sensibles.
Plus de 70 produits Cisco seraient concernés par les failles de Network Time Protocol (NTP), essentiellement des produits de collaboration et de médias sociaux, des produits réseau et sécurité, des appareils de routage et de commutation, des produits d’informatique unifiée et de communication, de streaming et de transcodage, des appareils WiFi et de services hébergés. Cisco a livré des mises à jour de firmware pour certains d’entre eux. Une liste des produits concernés et des correctifs disponibles a été publiée. Certains correctifs seront probablement mis à jour, au fur et à mesure de la livraison de nouveaux patchs.
Commentaire