Une faille de sécurité sur les serveurs Web de Cisco

Le CERT, organisme spécialisé dans la sécurité des systèmes informatiques, vient de publier une note d’information sur la vulnérabilité du serveur HTTP IOS de Cisco. Selon l’organisme, « un problème concernant le composant HTTP du système logiciel IOS permet à un intrus d’exécuter des commandes administrateurs sur des routeurs Cisco en cas d’utilisation de bases de données d’authentification locales ». Ce qui signifie que la personne en question peut ainsi accéder à tout le système et changer la configuration du système mis en place.

Cisco confie de son côté qu’il a lui-même prévenu le CERT afin que l’information puisse circuler le plus rapidement possible. Il confirme donc le fait que, à un moment donné, une personne non autorisée pourrait accéder au coeur du serveur HTTP. Toutefois, Olivier Ceznec, directeur technique pour Cisco, estime que cette vulnérabilité n’a été que potentielle : « Les entreprises mettent en place des configurations d’accès précises intégrant l’accès au serveur pour certaines personnes et provenant de postes bien spécifiques », commente-t-il. Autrement dit, il considère que les sociétés étaient déjà suffisamment prudentes avant la découverte de la faille pour renforcer la sécurité de leur système. Par ailleurs, il estime qu’aucun client n’a eu de problème à cause de cette faille. Il n’empêche que Cisco publie sur son site un correctif à télécharger afin d’empêcher une éventuelle intrusion.