Date : 20-08-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Résumé : Un déni de service distant causé par des paquets ICMP affecte les modules de filtrage FWSM Cisco (module firewall placés dans les modèles 6500 ou 7600).

Source : Cisco

Objet : Cisco FWSM

Description :

Les modules FWSM sont des cartes firewalls permettant de filtrer et
contrôler le trafic dans les routeurs 6500 ou 7600. Ils sont largement
utilisés en coeur de réseau ou dans les réseaux complexes en raison de
leur facilité pour créer des firewalls virtuels.

Un déni de service distant a été découvert par Cisco après enquête sur
des incidents répétés (probablement non voulus) : il est causé par un
traitement de paquets ICMP spécifiques (détails non donnés) entrainant
une boucle dans les threads gérant le trafic, et en cas de répétition,
par consommation de toutes les ressources. Le module ne peut alors plus
traiter le trafic. L’avis Cisco précise qu’en cas d’utilisation de
failover, le mécanisme de bascule peut même être affecté.

Le problème ne concerne pas ICMPv6.

L’exploitation et les détails ne sont pas publics.

Références :

– Cisco : http://www.cisco.com/warp/public/707/cisco-sa-20090819-
fwsm.shtml

– CVE-2009-0638