Cisco met a jour un correctif critique pour son gestionnaire PLM
En fin de semaine dernière, Cisco a livré la mise à jour d'un patch destiné à corriger une vulnérabilité SQL critique dans Cisco Prime License Manager (PLM). Selon Cisco, la faille pouvait permettre à des attaquants d'exécuter des requêtes SQL aléatoires.
Le gestionnaire de licence Prime License Manager de Cisco permet de gérer les licences par utilisateur à l'échelle de l'entreprise, y compris les conditions d'utilisation. Une première version du patch Prime License Manager livré en novembre a entrainé divers problèmes « fonctionnels » que Cisco a dû résoudre. Ce patch portant la référence ciscocm.CSCvk30822_v1.0.0.k3.cop.sgn, était destiné à corriger la vulnérabilité SQL, mais son application a provoqué des problèmes de sauvegarde, de mise à niveau et de restauration.
Cisco recommande de ne plus appliquer ce correctif et invite « les clients ayant déjà installé le patch ciscocm. CSCvk30822_v1.0.0.k3.cop.sgn à le mettre à jour avec le patch ciscocm.CSCvk30822_v2.0.k3.cop.sgn pour remédier à ces problèmes fonctionnels ». Comme le précise Cisco, « l'installation du patch v2.0 commence par annuler le patch v1.0 avant d'installer le patch v2.0 ».
Attention aux données supprimées
Concernant la vulnérabilité elle-même qui affecte les versions 11.0.1 et ultérieures de Cisco Prime License Manager, le fournisseur affirme qu'elle « est due à un manque de validation adéquate dans les données d'entrées de l'utilisateur dans les requêtes SQL. Un attaquant pourrait exploiter cette vulnérabilité en envoyant à une application affectée des requêtes HTTP POST contenant des instructions SQL malveillantes. En cas de succès, l'exploit pourrait permettre à l'attaquant de modifier et de supprimer des données arbitraires dans la base de données PLM ou d'accéder au shell avec les privilèges de l'utilisateur postgres SQL ».