L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Adaptive Security Appliance

vulnérabilité informatique CVE-2018-0233

Cisco ASA Firepower : déni de service via SSL Packet Reassembly

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SSL Packet Reassembly de Cisco ASA Firepower, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 20/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-fpsnort, CSCve23031, CVE-2018-0233, VIGILANCE-VUL-25935.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SSL Packet Reassembly de Cisco ASA Firepower, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-0229

Cisco ASA, Cisco AnyConnect : élévation de privilèges via SAML Authentication Session Fixation

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via SAML Authentication Session Fixation de Cisco ASA et Cisco AnyConnect, afin d'élever ses privilèges.
Produits concernés : Cisco AnyConnect Secure Mobility Client, ASA.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asaanyconnect, CSCvg65072, CSCvh87448, CVE-2018-0229, VIGILANCE-VUL-25923.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via SAML Authentication Session Fixation de Cisco ASA et Cisco AnyConnect, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-0240

Cisco ASA : déni de service via Application Layer Protocol Inspection

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Application Layer Protocol Inspection de Cisco ASA, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asa_inspect, CSCve61540, CSCvh23085, CSCvh95456, CVE-2018-0240, VIGILANCE-VUL-25922.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Application Layer Protocol Inspection de Cisco ASA, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2018-0231

Cisco ASA : déni de service via TLS

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via TLS de Cisco ASA, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asa3, CSCve18902, CSCve34335, CSCve38446, CVE-2018-0231, VIGILANCE-VUL-25921.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via TLS de Cisco ASA, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-0228

Cisco ASA : déni de service via Flow Creation

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Flow Creation de Cisco ASA, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asa2, CSCvf63718, CVE-2018-0228, VIGILANCE-VUL-25920.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Flow Creation de Cisco ASA, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-0227

Cisco ASA : élévation de privilèges via VPN SSL Certificate Verification

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via VPN SSL Certificate Verification de Cisco ASA, afin d'élever ses privilèges.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asa1, CSCvg40155, CVE-2018-0227, VIGILANCE-VUL-25919.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via VPN SSL Certificate Verification de Cisco ASA, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-0251

Cisco ASA : Cross Site Scripting via Clientless SSL VPN

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Clientless SSL VPN de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asawvpn2, CSCvh20742, CVE-2018-0251, VIGILANCE-VUL-25915.

Description de la vulnérabilité

Le produit Cisco ASA dispose d'un service web.

Cependant, les données reçues via Clientless SSL VPN ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Clientless SSL VPN de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-0242

Cisco ASA : Cross Site Scripting via WebVPN

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via WebVPN de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 19/04/2018.
Références : CERTFR-2018-AVI-194, cisco-sa-20180418-asawvpn, CSCvg33985, CVE-2018-0242, VIGILANCE-VUL-25914.

Description de la vulnérabilité

Le produit Cisco ASA dispose d'un service web.

Cependant, les données reçues via WebVPN ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via WebVPN de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-0101

Cisco ASA : utilisation de mémoire libérée via webvpn

Synthèse de la vulnérabilité

Un attaquant peut provoquer une double libération de mémoire via le serveur TLS de la fonctionnalité webvpn de Cisco ASA, afin de mener un déni de service, ou d'exécuter du code avec les privilèges d'administration.
Produits concernés : ASA.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 30/01/2018.
Dates révisions : 31/01/2018, 08/02/2018, 08/02/2018.
Références : CERTFR-2018-ALE-002, CERTFR-2018-AVI-063, cisco-sa-20180129-asa1, CVE-2018-0101, VIGILANCE-VUL-25173.

Description de la vulnérabilité

Un attaquant peut provoquer une double libération de mémoire dans le serveur TLS de la fonctionnalité webvpn de Cisco ASA, afin de mener un déni de service, ou d'exécuter du code avec les privilèges d'administration.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-12373 CVE-2017-17428

Cisco ACE/ASA : obtention d'information via ROBOT Attack

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via ROBOT Attack (VIGILANCE-VUL-24749) de Cisco ACE/ASA, afin d'obtenir des informations sensibles.
Produits concernés : Cisco ACE, ASA.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 12/12/2017.
Date révision : 14/12/2017.
Références : cisco-sa-20171212-bleichenbacher, CSCvg74693, CSCvg97652, CSCvh10981, CSCvh25064, CVE-2017-12373, CVE-2017-17428, VIGILANCE-VUL-24747.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via ROBOT Attack (VIGILANCE-VUL-24749) de Cisco ACE/ASA, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco Adaptive Security Appliance :