Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2010 > AV10-018 : Vulnérabilité de réponse HTTP séparée sur Cisco ASA

Liens institutionnels

Vulnérabilité de réponse HTTP séparée sur Cisco ASA

Numéro : AV10-018
Date : 28 juin 2010

Objet

L'objet du présent avis est d'attirer l'attention sur une faille qui touche Cisco ASA.

Évaluation

Le produit Adaptive Security Appliance (ASA), de Cisco, est vulnérable à une attaque par réponse HTTP séparée entraînée par une validation insuffisante des données fournies par l'utilisateur. Un utilisateur éloigné peut exploiter cette vulnérabilité pour usurper le contenu de l'appareil ASA ciblé, empoisonner le cas échéant toute cache Web  présente ou faire des attaques par injection de code (cross-site scripting). Selon SecureWorks, cette vulnérabilité a un risque élevé d'être exploitée, car ce produit se trouve habituellement à la périphérie du réseau afin de fournir un accès éloigné. Les conséquences sont aussi jugées graves, car cette vulnérabilité peut entraîner le vol de justificatifs et donner accès au RPV.

Logiciel touché :

Cette vulnérabilité touches les versions 8.1(1) et antérieures.

RÉFÉRENCES

On a attribué à cette vulnérabilité l'identifiant CVE-2008-7257. Cisco a attribué à cette vulnérabilité le numéro de bogue Cisco CSCsr09163.

http://securitytracker.com/alerts/2010/Jun/1024155.html

http://www.secureworks.com/ctu/advisories/SWRX-2010-001/

Mesure suggérée

Cisco a publié un correctif qui rectifie cette vulnérabilité. Le CCRIC recommande aux ministères d'assurer la liaison avec le développeur/les responsables de la maintenance du service d'application afin de relever les produits touchés et d'évaluer le besoin d'appliquer les orrectifs ou méthodes de contournement appropriés.

La version 8.1(2) du logiciel rectifie aussi ce défaut de sécurité.

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2010-06-28
Haut de la page
Haut de la page
Avis importants