Douze "patchs" dans la livraison semestrielle de Cisco
Cisco met à disposition douze rustines qui comblent des failles dans son système d'exploitation IOS. L'IOS tourne sur tous ses routeurs et sur tout l'internet. Cisco vient de publier une douzaine de rustines pour son Internetwork Operation System (IOS), le système d'exploitation de ses routeurs. La société précise, qu'à ce jour, les failles comblées par ces correctifs n'ont pas été exploitées. Ce qui pourrait désormais être le cas étant donné la publicité faite autour d'elles. La vulnérabilité la plus grave concerne les routeurs uBR10012. Elle atteint le niveau 10/10 sur l'échelle CVSS (Common Vulnerability Scoring System). La configuration SNMP par défaut de ces routeurs permet une prise de contrôle. Parmi les autres failles, certaines peuvent pousser le routeur à redémarrer ou à se bloquer. Plus ironiquement, les fonctionnalités VPN et le module de protection d'IOS, IOS Intrusion Prevention System, sont aussi victimes de failles. La quantité de rustines annoncées en une seule fois se justifie par le fait que Cisco ne publie que deux rectificatifs de sécurité par an pour l'IOS. Le quatrième mercredi des mois de mars et de septembre. La prochaine livraison de corrections est ainsi prévue pour le 25 mars 2009. La société explique ce choix par le fait que les utilisateurs préfèrent planifier leur mise à jour. Cisco précise aussi qu'il garde la possibilité d'émettre des rustines entre-temps lorsque la publication d'une faille fait courir un risque.
