Vigil@nce - Cisco ACE : déni de service via SSL Logs
mai 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut ouvrir de nombreuses sessions SSL, pour remplir
les journaux de logs de Cisco ACE, afin de mener un déni de
service.
– Produits concernés : Cisco ACE
– Gravité : 2/4
– Date création : 16/05/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Cisco Application Control Engine journalise les
sessions SSL demandées par les utilisateurs.
Cependant, le fichier de log n’est pas recyclé (rotate). Le disque
dur peut alors se remplir, empêchant le fonctionnement de Cisco
ACE.
Un attaquant peut donc ouvrir de nombreuses sessions SSL, pour
remplir les journaux de logs de Cisco ACE, afin de mener un déni
de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Cisco-ACE-deni-de-service-via-SSL-Logs-12836