Douze rustines dans la livraison semestrielle de Cisco
Cisco met à disposition douze rustines qui comblent des failles dans son système d'exploitation IOS qui tourne sur la plupart de ses routeurs.
Cisco vient de publier une douzaine de rustines pour son Internetwork Operation System (IOS), le système d'exploitation de ses routeurs. La société précise, qu'à ce jour, les failles comblées par ces correctifs n'ont pas été exploitées. Ce qui pourrait désormais être le cas étant donné la publicité faite autour d'elles.
La vulnérabilité la plus grave concerne les routeurs uBR10012. Elle atteint le niveau 10/10 sur l'échelle CVSS (Common Vulnerability Scoring System). La configuration SNMP par défaut de ces routeurs permet une prise de contrôle. Parmi les autres failles, certains peuvent pousser le routeur à redémarrer ou à se bloquer. Plus ironiquement, les fonctionnalités VPN et le module de protection d'IOS, IOS Intrusion Prevention System, sont aussi victimes de failles.
Deux rectificatifs majeurs de sécurité par an
La quantité de rustines annoncées en une seule fois se justifie par le fait que Cisco ne publie que deux rectificatifs de sécurité par an pour IOS. Le quatrième mercredi des mois de mars et de septembre. La prochaine livraison de corrections est ainsi prévue pour le 25 mars 2009.
La société explique ce choix par le fait que les utilisateurs préfèrent pouvoir planifier leur mise à jour. Elle précise aussi qu'elle garde la possibilité d'émettre des rustines entre-temps lorsque la publication d'une faille fait courir un risque.