CERTA-2001-AVI-144

Vulnerability from certfr_avis - Published: - Updated:

Sur les CISCO de la série 12000, dans certaines conditions, les ACL (Liste de Contrôles d'Accès) mises en place ne sont pas correctement prises en compte.

Description

Plusieurs vulnérabilités concernant les ACL sur les routeurs CISCO de la série 12000 sont à corriger.

  • Les ACL ne permettent de bloquer que le premier élément d'un paquet fragmenté. Il est donc possible de contourner les règles de sécurité du routeur en dissimulant du trafic malveillant dans certains des fragments.

  • Le mot clé fragment dans les ACL est ignoré si le paquet est destiné au routeur lui même. Le routeur n'est donc pas protégé par ses ACL.

  • Ce mot clé est ignoré dans les ACL s'appliquant aux paquets sortants, une règle contenant ce mot clé ne s'applique que sur les paquets entrants.

    Il peut même arriver que ce mot clé soit ignoré dans tous les cas.

  • Une règle implicite deny ip any any placée en fin d'une ACL d'exactement 448 entrées appliquée à une interface (contrôle d'accès du trafic sortant) sera ignorée.

  • Une ACL risque de ne pas bloquer certains paquets du trafic sortant, si une autre liste concernant le trafic entrant existe mais n'est pas appliquée à toutes les interfaces d'un système de type Engine 2 uniquement.

Solution

Appliquer les correctifs comme indiqué dans l'avis de CISCO. (cf. Section Documentation)

Routeurs CISCO de la série 12000 uniquement.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eRouteurs CISCO de la s\u00e9rie 12000 uniquement.\u003c/P\u003e",
  "content": "## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s concernant les ACL sur les routeurs CISCO de la\ns\u00e9rie 12000 sont \u00e0 corriger.\n\n-   Les ACL ne permettent de bloquer que le premier \u00e9l\u00e9ment d\u0027un paquet\n    fragment\u00e9. Il est donc possible de contourner les r\u00e8gles de s\u00e9curit\u00e9\n    du routeur en dissimulant du trafic malveillant dans certains des\n    fragments.\n\n-   Le mot cl\u00e9 fragment dans les ACL est ignor\u00e9 si le paquet est destin\u00e9\n    au routeur lui m\u00eame. Le routeur n\u0027est donc pas prot\u00e9g\u00e9 par ses ACL.\n\n-   Ce mot cl\u00e9 est ignor\u00e9 dans les ACL s\u0027appliquant aux paquets\n    sortants, une r\u00e8gle contenant ce mot cl\u00e9 ne s\u0027applique que sur les\n    paquets entrants.\n\n    Il peut m\u00eame arriver que ce mot cl\u00e9 soit ignor\u00e9 dans tous les cas.\n\n-   Une r\u00e8gle implicite deny ip any any plac\u00e9e en fin d\u0027une ACL\n    d\u0027exactement 448 entr\u00e9es appliqu\u00e9e \u00e0 une interface (contr\u00f4le d\u0027acc\u00e8s\n    du trafic sortant) sera ignor\u00e9e.\n\n-   Une ACL risque de ne pas bloquer certains paquets du trafic sortant,\n    si une autre liste concernant le trafic entrant existe mais n\u0027est\n    pas appliqu\u00e9e \u00e0 toutes les interfaces d\u0027un syst\u00e8me de type Engine 2\n    uniquement.\n\n## Solution\n\nAppliquer les correctifs comme indiqu\u00e9 dans l\u0027avis de CISCO. (cf.\nSection Documentation)\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 de CISCO :",
      "url": "http://www.cico.com/warp/public/707/GSR-ACL-pub.shtml"
    }
  ],
  "reference": "CERTA-2001-AVI-144",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-11-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement des r\u00e8gles de filtrage des routeurs"
    }
  ],
  "summary": "Sur les CISCO de la s\u00e9rie 12000, dans certaines conditions, les ACL\n(Liste de Contr\u00f4les d\u0027Acc\u00e8s) mises en place ne sont pas correctement\nprises en compte.\n",
  "title": "Vuln\u00e9rabilit\u00e9s li\u00e9es aux ACL dans les routeurs CISCO 12000",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 CISCO",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.