L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco Adaptive Security Appliance

avis de vulnérabilité CVE-2017-13077 CVE-2017-13078 CVE-2017-13079

WPA2 : obtention d'information via Key Reinstallation Attacks

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Key Reinstallation Attacks de WPA2, afin d'obtenir des informations sensibles.
Produits concernés : SNS, iOS par Apple, iPhone, Mac OS X, ArubaOS, Cisco Aironet, Cisco AnyConnect Secure Mobility Client, ASA, Meraki MR***, Cisco IP Phone, Cisco Wireless IP Phone, Debian, Fedora, FortiGate, FortiOS, FreeBSD, Android OS, Junos OS, SSG, Linux, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 2016, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, NetBSD, NetScreen Firewall, ScreenOS, OpenBSD, openSUSE Leap, pfSense, 802.11 (protocole), RHEL, RuggedSwitch, SIMATIC, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, Ubuntu, Unix (plateforme) ~ non exhaustif, WindRiver Linux.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : liaison radio.
Nombre de vulnérabilités dans ce bulletin : 10.
Date création : 16/10/2017.
Références : ARUBA-PSA-2017-007, CERTFR-2017-ALE-014, CERTFR-2017-AVI-357, CERTFR-2017-AVI-358, CERTFR-2017-AVI-359, CERTFR-2017-AVI-360, CERTFR-2017-AVI-361, CERTFR-2017-AVI-363, CERTFR-2017-AVI-373, CERTFR-2017-AVI-379, CERTFR-2017-AVI-383, CERTFR-2017-AVI-390, CERTFR-2017-AVI-441, CERTFR-2017-AVI-478, CERTFR-2018-AVI-014, CERTFR-2018-AVI-048, cisco-sa-20171016-wpa, CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, DLA-1150-1, DLA-1200-1, DLA-1573-1, DSA-3999-1, FEDORA-2017-12e76e8364, FEDORA-2017-45044b6b33, FEDORA-2017-60bfb576b7, FEDORA-2017-cfb950d8f4, FEDORA-2017-fc21e3856b, FG-IR-17-196, FreeBSD-SA-17:07.wpa, HT208221, HT208222, HT208334, HT208394, JSA10827, K-511282, KRACK Attacks, openSUSE-SU-2017:2755-1, openSUSE-SU-2017:2846-1, openSUSE-SU-2017:2896-1, openSUSE-SU-2017:2905-1, openSUSE-SU-2017:3144-1, RHSA-2017:2907-01, RHSA-2017:2911-01, SSA:2017-291-02, SSA-418456, SSA-901333, STORM-2017-005, SUSE-SU-2017:2745-1, SUSE-SU-2017:2752-1, SUSE-SU-2017:2847-1, SUSE-SU-2017:2869-1, SUSE-SU-2017:2908-1, SUSE-SU-2017:2920-1, SUSE-SU-2017:3106-1, SUSE-SU-2017:3165-1, SUSE-SU-2017:3265-1, SUSE-SU-2017:3267-1, SUSE-SU-2018:0040-1, SUSE-SU-2018:0171-1, Synology-SA-17:60, Synology-SA-17:60 KRACK, USN-3455-1, USN-3505-1, VIGILANCE-VUL-24144, VU#228519.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Key Reinstallation Attacks de WPA2, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-12245

Cisco ASA : fuite mémoire via Firepower SSL Decryption

Synthèse de la vulnérabilité

Un attaquant peut provoquer une fuite mémoire via Firepower SSL Decryption de Cisco ASA, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 05/10/2017.
Références : CERTFR-2017-AVI-333, cisco-sa-20171004-ftd, CSCve02069, CVE-2017-12245, VIGILANCE-VUL-24034.

Description de la vulnérabilité

Un attaquant peut provoquer une fuite mémoire via Firepower SSL Decryption de Cisco ASA, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-12244

Cisco ASA : déni de service via Firepower IPv6

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Firepower IPv6 de Cisco ASA, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 05/10/2017.
Références : CERTFR-2017-AVI-333, cisco-sa-20171004-fpsnort, CSCvd34776, CVE-2017-12244, VIGILANCE-VUL-24033.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Firepower IPv6 de Cisco ASA, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-12246

Cisco ASA : déni de service via Direct Authentication

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Direct Authentication de Cisco ASA, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 05/10/2017.
Références : CERTFR-2017-AVI-333, cisco-sa-20171004-asa, CSCvd59063, CVE-2017-12246, VIGILANCE-VUL-24032.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Direct Authentication de Cisco ASA, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-12265

Cisco ASA : Cross Site Scripting via HREF

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via HREF de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 05/10/2017.
Références : CERTFR-2017-AVI-333, cisco-sa-20171004-asa1, CSCve91068, CVE-2017-12265, VIGILANCE-VUL-24031.

Description de la vulnérabilité

Le produit Cisco ASA dispose d'un service web.

Cependant, les données reçues via HREF ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via HREF de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-6752

Cisco ASA : obtention d'information via Username Enumeration

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Enumeration de Cisco ASA, afin d'obtenir des informations sensibles.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 03/08/2017.
Références : cisco-sa-20170802-asa2, CSCvd47888, CVE-2017-6752, VIGILANCE-VUL-23444.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Username Enumeration de Cisco ASA, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-6765

Cisco ASA : Cross Site Scripting via WebVPN

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via WebVPN de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/08/2017.
Références : cisco-sa-20170802-asa1, CSCve19179, CVE-2017-6765, VIGILANCE-VUL-23443.

Description de la vulnérabilité

Le produit Cisco ASA dispose d'un service web.

Cependant, les données reçues via WebVPN ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via WebVPN de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-6764

Cisco ASA : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 03/08/2017.
Références : cisco-sa-20170802-asa, CSCvd82064, CVE-2017-6764, VIGILANCE-VUL-23442.

Description de la vulnérabilité

Le produit Cisco ASA dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Cisco ASA, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-6770

Cisco ASA, IOS, XE, NX-OS : élévation de privilèges via OSPF LSA

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via OSPF LSA de Cisco, afin d'élever ses privilèges.
Produits concernés : ASA, IOS par Cisco, IOS XE Cisco, Nexus par Cisco, NX-OS, Cisco Router.
Gravité : 2/4.
Conséquences : accès/droits privilégié, création/modification de données.
Provenance : client intranet.
Date création : 28/07/2017.
Références : cisco-sa-20170727-ospf, CSCva74756, CSCve47393, CSCve47401, CVE-2017-6770, VIGILANCE-VUL-23381, VU#793496.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via OSPF LSA de Cisco, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-6625

Cisco ASA FirePOWER : déni de service via SSL Policy

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SSL Policy de Cisco ASA FirePOWER, afin de mener un déni de service.
Produits concernés : ASA.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client internet.
Date création : 03/05/2017.
Références : CERTFR-2017-AVI-139, cisco-sa-20170503-ftd, CSCvc84361, CVE-2017-6625, VIGILANCE-VUL-22639.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via SSL Policy de Cisco ASA FirePOWER, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco Adaptive Security Appliance :