Sélection de la langue

Government of Canada / Gouvernement du Canada

Avis aux lectrices et aux lecteurs

Cette publication ne répond pas actuellement aux normes Web du gouvernement du Canada. Les informations restent valables.

Vulnérabilité de contournement de l'authentification de gestion dans des produits Cisco

Numéro : AV16-016
Date : Le 27 janvier 2016

Objet

Cette alerte a pour objet d'attirer votre attention sur des mises à jour logicielles récentes qui éliminent une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. révélée dans le produit Cisco RV220W.

Évaluation

Le CCRIC a appris l'existence d'une vulnérabilité révélée dernièrement dans le produit Cisco RV220W.

Les appareils Cisco RV220W Wireless Security Firewall pourraient permettre un attaquant à distance non authentifié de contourner la procédure d'authentification AuthentificationProcessus ou mesure permettant de vérifier l’identité d’un utilisateur. et d'obtenir les privilèges de l'administrateur dans un appareil ciblé. On pourrait exploiter cette vulnérabilité en envoyant une demande HTTP spécialement conçue contenant un énoncé SQL malicieux à l'interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. de gestion de l'appareil ciblé.

Versions touchées du produit :
Cisco RV220W utilisant les micrologiciels antérieurs à la version 1.0.7.2

Versions NON touchées du produit :
Cisco RV120W Wireless-N VPN Firewall
Cisco RV180 VPN-Router
Cisco RV180W Wireless-N Multifunction VPN Router

Mesure suggérée

En raison du risque élevé que présente cette vulnérabilité, le CCRIC recommande aux administrateurs de systèmes de tester et de déployer la mise à jour des micrologiciels publiée par le fournisseur dans les appareils touchés. Le CCRIC recommande que l'on traite ces correctifs en priorité.

Références

Cisco RV220W Management Authentication Bypass Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160127-rv220

Date de modification :