Risque
Déni de service.
Systèmes affectés
La première vulnérabilité affecte les versions suivantes :
- 6.3.1 ;
- 6.2.2 et antérieures ;
- 6.1.4 et antérieures ;
- 5.X.X et antérieures.
La seconde vulnérabilité affecte les versions 6.2.3 et antérieures. Les versions 6.1.X et 5.X.X ne disposant pas du client VPN ne sont pas affectées.
Résumé
Deux nouvelles vulnérabilités ont été découvertes dans le garde-barrière PIX de Cisco.
Description
- Première vulnérabilité : au moyen d'un message SNMPv3 habilement constitué, un utilisateur mal intentionné peut forcer l'arrêt brutal du garde-barrière. Cette vulnérabilité n'est exploitable que si le garde-barrière est configuré pour recevoir les messages SNMP (snmp-server host <adresseIP>).
- Deuxième vulnérabilité : il est possible, sous certaines circonstances, de forcer le client VPN du garde-barrière Cisco à supprimer un tunnel IPSEC préalablement établi.
Contournement provisoire
Deux mesures de protection peuvent être mises en oeuvre pour prévenir l'exploitation de la première vulnérabilité :
- Restreindre l'accès au serveur SNMP du garde-barrière :
snmp-server host <interface> <adresseIp> poll
- ou arrêter le serveur SNMP du garde-barrière :
no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable-traps
Solution
Se référer au bulletin de sécurité du constructeur (cf. section Documentation) pour l'obtention des correctifs.
Documentation
Bulletin de sécurité de Cisco :
http://www.cisco.com/warp/public/707/cisco-sa-20031215-pix.shtml
