Sélection de la langue

Alerte - Vulnérabilité dans le compilateur ASN1C C/C++ d’Objective Systems

Numéro : AL16-015
Date : Le 22 juillet 2016

Objet

La présente alerte vise à attirer l’attention sur l’exploitation active d’une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. critique dans le compilateur ASN1C C/C++ d’Objective Systems.

Évaluation

Le CCRIC a été mis au courant d’une vulnérabilité récemment divulguée dans le compilateur ASN1C C/C++. L’exploitation de cette vulnérabilité pourrait potentiellement permettre à un attaquant non authentifié à distance d’exécuter du code arbitraire dans un système infecté.

Référence CVE : CVE-2016-5080

Versions affectées : Compilateur ASN1C C/C++ versions 7.0 et antérieures.

Systèmes touchés : Tous les systèmes contenant des ressources compilées par les versions touchées du compilateur ASN1C C/C++.

ASN1C est un compilateur qui respecte la spécification ASN.1. De multiples protocoles de télécommunication utilisent cette spécification et y font référence, y compris GSM, UMTS, LTE, X.509, SNMP et la téléphonie IP. Par conséquent, plusieurs produits matériels et logiciels tirent profit du compilateur ASN1C.

Mesures Recommandées

En raison des risques potentiels présentés par cette vulnérabilité, le CCRIC recommande aux administrateurs de systèmes de cerner leurs biens touchés et les interdépendances potentielles dans les services critiques de leur organisation. Le processus de gestion des correctifs de l’organisation devra être mis en œuvre à mesure que des mises à jour seront diffusées.

Références :

Date de modification :