Vulnérabilité dans Palo Alto PAN-OS
Date de publication :
Une vulnérabilité a été découverte dans PAN-OS, le système d’exploitation utilisé par Palo Alto dans leurs équipements réseau. Un attaquant distant exploitant cette vulnérabilité peut provoquer un déni de service via le plantage d’un des services du système, voire exécuter du code arbitraire.
CVE-2020-1992 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “format string bug” a été découverte dans le daemon Varrcvr utilisé par PAN-OS. Un attaquant distant exploitant cette vulnérabilité peut provoquer un plantage du daemon, menant à une situation de déni de service, voire exécuter du code arbitraire. Cette vulnérabilité n’affecte que la série PA-7000 disposant d’une “Log Forwarding Card” (LFC).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Exécution de code arbitraire
Criticité
Score CVSS v3 : 8.1
Existence d’un code d’exploitation
Pas de code d’exploitation disponible publiquement à ce jour
Composants vulnérables
PAN-OS sur les appareils PA-7000 series (avec LFC):
version 9.0 jusqu’à 9.0.7 (non-incluse)
version 9.1 jusqu’à 9.1.2 (non-incluse)
CVE
CVE-2020-1992
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour PAN-OS vers la version 9.0.7 ou 9.1.2 selon la version intermédiaire utilisée
Solution de contournement
Aucune solution de contournement n’est disponible