Cisco vient de réitérer une mise en garde contre une faille de sécurité existant depuis 2005 dans le serveur HTTP IOS et qui n'a toujours pas de patch de correction. L'annonce concerne la vulnérabilité qui existe sur ces serveurs HTTP IOS dans lesquels le code HTML d'un output tel que "show buffers command" passera vers le browser qui demande la page. Ce code Html pourrait être potentiellement interprété par le browser client pour exécuter des commandes malicieuses. Selon Cisco, aucun patch pour fixer ce problème n'existe à l'heure actuelle alors que la mise en garde a déjà été lancée en décembre 2005. Une possibilité de contournement consiste à désactiver le service WEB_EXEC tout en laissant actifs les autres services HTTP.
Inquiétant !