S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 juillet 2002
N° CERTA-2002-AVI-141
Affaire suivie par: CERT-FR
le 04 juillet 2002

Avis du CERT-FR

Objet: Vulnérabilité dans CISCO Secure ACS pour UNIX

Gestion du document

Référence CERTA-2002-AVI-141
Titre Vulnérabilité dans CISCO Secure ACS pour UNIX
Date de la première version 04 juillet 2002
Date de la dernière version 04 juillet 2002
Source(s) Bulletin de securité CISCO
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Accès à des données non autorisées.

Systèmes affectés

Cisco Secure ACS pour Unix version 2.0 jusqu'à la version 2.3.5.1 incluse.

Résumé

Une vulnérabilité a été découverte dans l'utilitaire Acme.server présent dans CISCO Secure ACS.

Description

CISCO Secure Access Control Server (ACS) est un outil de centralisation des autorisations d'accès (AAA : Authentification, Authorization, Accounting). Une vulnérabilité a été découverte dans l'utilitaire Acme.server permettant l'administration distante via le port 9090/TCP.
Un utilisateur mal intentionné peut accéder à des données du disque en employant une syntaxe spécifique dans l'URL afin de remonter dans l'arborescence du disque. Cette vulnérabilité peut être employée afin de voler le fichier contenant les mots de passe.

Solution

Appliquer le correctif fourni par CISCO (cf. Documentation).

Documentation

Bulletin de sécurité CISCO "Cisco Secure ACS Acme.server Information disclosure Vulnerability" :

http://www.cisco.com/warp/public/707/acmeweb-acsunix-dirtravers-vuln-pub.shtml

Gestion détaillée du document

    le 04 juillet 2002
    version initiale.