Cisco Systems a livré des patchs pour ses appliances de sécurité Email, Web et Content afin de corriger des vulnérabilités susceptibles d'être exploitées par un attaquant pour exécuter des commandes sur le système d'exploitation sous-jacent ou même pour perturber des processus critiques. Les vulnérabilités affectent différentes versions du système d'exploitation Cisco IronPort AsyncOS utilisé avec les appliances Content Security Management, Email Security Appliance et Web Security Appliance.

Les versions 7.1 et antérieures, les versions 7.3, 7.5 et 7.6 du logiciel de l'appliance Cisco Email Security Appliance sont affectées par trois vulnérabilités. L'une permet à des attaquants d'injecter et d'exécuter du code arbitraire à distance, et de s'octroyer des privilèges élevés via l'interface Web. Les deux autres pourraient être utilisées pour planter l'interface de gestion graphique (GUI) ou le service de quarantaine IronPort Spam Quarantine et d'interrompre d'autres processus critiques.


Pour exploiter la vulnérabilité par injection de code, l'attaquant doit au minimum s'authentifier via l'interface Web avec un compte bénéficiant de privilèges réduits, mais les vulnérabilités de déni de service peuvent être exploitées à distance sans authentification. Cisco conseille aux utilisateurs des séries de version 7.1 de passer à la version 7.1.5-016 ou ultérieure, et aux utilisateurs des séries de version 7.3 de passer à la version 8.0.0-671. Comme l'a déclaré Cisco mardi dans son avis de sécurité, les utilisateurs des séries de version 7.5 et 7.6 devraient passer à la version 7.6.3-019 ou ultérieure. Les séries de version 8.0 ne sont pas affectées.

Des failles exploitables à distance


Les séries de version 7.2 et antérieures, et les séries de version 7.7, 7.8, 7.9 et 8.0 du logiciel de l'appliance Content Security Management sont affectées par les mêmes vulnérabilités de commandes par injection de code et de déni de service, de même que le logiciel de l'appliance Email Security Appliance.

Dans un avis distinct, l'équipementier précise que toutes les vulnérabilités sont corrigées dans les versions 7.9.1-102 et 8.0.0-404. Les utilisateurs des séries de version 7.2 et antérieures, 7.7 et 7.8 sont invités à passer à la version 7.9.1-102 ou ultérieure du logiciel. Les versions 8.1 ne sont pas affectées. Les versions 7.1 et antérieures, et les versions 7.5 et 7.7 du logiciel de l'appliance Cisco Web Security sont affectées par deux vulnérabilités par injection de code authentifié et par une vulnérabilité de déni de service dans l'interface de gestion graphique. Certaines de ces vulnérabilités sont identiques à celles qui affectent le logiciel de l'appliance de sécurité de messagerie de Cisco.

Les versions logicielles qui corrigent les trois vulnérabilités de l'appliance Email Security Appliance portent les numéros 7.5.1-201 et 7.7.0-602. Les utilisateurs des versions 7.1 et antérieures sont invités à mettre à jour leurs systèmes en version 7.5.1-201 ou ultérieures.