L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Cisco IOS-XR

avis de vulnérabilité informatique CVE-2017-12355

Cisco IOS XR : déni de service via LPTS

Synthèse de la vulnérabilité

Un attaquant peut envoyer des paquets LPTS malveillants vers Cisco IOS XR, afin de mener un déni de service.
Produits concernés : IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Date création : 30/11/2017.
Références : cisco-sa-20171129-ios-xr, CSCvf76332, CVE-2017-12355, VIGILANCE-VUL-24579.

Description de la vulnérabilité

Un attaquant peut envoyer des paquets LPTS malveillants vers Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-12270

Cisco IOS XR : déni de service via gRPC

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via gRPC de Cisco IOS XR, afin de mener un déni de service.
Produits concernés : IOS XR Cisco.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Date création : 05/10/2017.
Références : CERTFR-2017-AVI-333, cisco-sa-20171004-ncs, CSCvb99388, CVE-2017-12270, VIGILANCE-VUL-24029.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via gRPC de Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-6731

Cisco IOS XR : déni de service via MSDP

Synthèse de la vulnérabilité

Un attaquant peut envoyer des paquets MSDP malveillants vers Cisco IOS XR, afin de mener un déni de service.
Produits concernés : Cisco Catalyst, IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Date création : 06/07/2017.
Références : CERTFR-2017-AVI-202, cisco-sa-20170705-iosxr, CSCvd94828, CVE-2017-6731, VIGILANCE-VUL-23142.

Description de la vulnérabilité

Le produit Cisco IOS XR dispose d'un service pour traiter les paquets MSDP reçus.

Cependant, lorsque des paquets MSDP malveillants sont reçus, une erreur fatale se produit.

Un attaquant peut donc envoyer des paquets MSDP malveillants vers Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-6728

Cisco IOS XR : élévation de privilèges via CLI

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via CLI de Cisco IOS XR, afin d'élever ses privilèges.
Produits concernés : Cisco Catalyst, IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 06/07/2017.
Références : CERTFR-2017-AVI-202, cisco-sa-20170705-ios, CSCvb99389, CVE-2017-6728, VIGILANCE-VUL-23141.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via CLI de Cisco IOS XR, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-6719

Cisco IOS XR : élévation de privilèges via CLI

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via CLI de Cisco IOS XR, afin d'élever ses privilèges.
Produits concernés : Cisco Catalyst, IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 22/06/2017.
Date révision : 27/06/2017.
Références : CERTFR-2017-AVI-191, cisco-sa-20170621-ios, CSCvb99406, CVE-2017-6719, VIGILANCE-VUL-23059.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via CLI de Cisco IOS XR, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-6718

Cisco IOS XR : élévation de privilèges via CLI

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via CLI de Cisco IOS XR, afin d'élever ses privilèges.
Produits concernés : Cisco Catalyst, IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 22/06/2017.
Date révision : 27/06/2017.
Références : CERTFR-2017-AVI-191, cisco-sa-20170621-ios1, CSCvb99384, CVE-2017-6718, VIGILANCE-VUL-23060.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via CLI de Cisco IOS XR, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-6666

Cisco IOS XR : déni de service via Traffic Engineering

Synthèse de la vulnérabilité

Un attaquant local et authentifié peut arrêter le tunnel de type Traffic Engineering de Cisco IOS XR, afin de mener un déni de service.
Produits concernés : Cisco ASR, IOS XR Cisco, Cisco Router.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : compte privilégié.
Date création : 14/06/2017.
Références : cisco-sa-20170607-ncs, CVE-2017-6666, VIGILANCE-VUL-22975.

Description de la vulnérabilité

Un attaquant local et authentifié peut arrêter le tunnel de type Traffic Engineering de Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-3876

Cisco IOS XR : déni de service via Event Management Service gRPC

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Event Management Service gRPC de Cisco IOS XR, afin de mener un déni de service.
Produits concernés : IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : client intranet.
Date création : 03/05/2017.
Références : CERTFR-2017-AVI-139, cisco-sa-20170503-ios-xr, CSCvb14441, CVE-2017-3876, VIGILANCE-VUL-22641.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Event Management Service gRPC de Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-6599

Cisco IOS XR : fuite mémoire via gRPC

Synthèse de la vulnérabilité

Un attaquant peut provoquer une fuite mémoire via gRPC de Cisco IOS XR, afin de mener un déni de service.
Produits concernés : Cisco Catalyst, IOS XR Cisco, Cisco Router.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : serveur internet.
Date création : 06/04/2017.
Références : cisco-sa-20170405-ios, CSCvb14433, CVE-2017-6599, VIGILANCE-VUL-22356.

Description de la vulnérabilité

Un attaquant peut provoquer une fuite mémoire via gRPC de Cisco IOS XR, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-3733

OpenSSL : déni de service via l'option "Encrypt-Then-Mac"

Synthèse de la vulnérabilité

Un attaquant peut inverser l'état de l'option "Encrypt-Then-Mac" dans une renégociation TLS avec un client ou un serveur basé sur OpenSSL, afin de mener un déni de service.
Produits concernés : Cisco ASR, Cisco ATA, AsyncOS, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Router, Cisco CUCM, Cisco Manager Attendant Console, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, HP Operations, IRAD, Tivoli Storage Manager, OpenSSL, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Tuxedo, VirtualBox, WebLogic, Oracle Web Tier.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 16/02/2017.
Références : 2003480, 2003620, 2003673, 2004940, CERTFR-2017-AVI-035, cisco-sa-20170130-openssl, cpuapr2019, cpujan2018, cpuoct2017, CVE-2017-3733, HPESBGN03728, VIGILANCE-VUL-21871.

Description de la vulnérabilité

OpenSSL gère la possibilité de renégocier les options d'une connexion TLS en cours de session.

Cependant, pour certaines combinaisons d'algorithmes, lorsque l'option "Encrypt-Then-Mac" est activée ou désactivé en cours de session, une erreur fatale au processus se produit.

Un attaquant peut donc inverser l'état de l'option "Encrypt-Then-Mac" dans une renégociation TLS avec un client ou un serveur basé sur OpenSSL, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Cisco IOS-XR :