S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 novembre 2004
N° CERTA-2004-AVI-359
Affaire suivie par: CERT-FR
le 04 novembre 2004

Avis du CERT-FR

Objet: Vulnérabilité dans Cisco Secure ACS

Gestion du document

Référence CERTA-2004-AVI-359
Titre Vulnérabilité dans Cisco Secure ACS
Date de la première version 04 novembre 2004
Date de la dernière version 04 novembre 2004
Source(s) Bulletin de sécurité CISCO
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Elévation des privilèges ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Cisco Secure ACS Solution Engine versions 3.x antérieures à la version 3.3.2;
  • Cisco Secure ACS versions 3.3.x antérieures à la version 3.3.2.

Résumé

Une vulnérabilité présente dans Cisco Secure ACS et Cisco Secure ACS Solution Engine permet à un utilisateur mal intentionné de contourner l'authentification.

Description

Une vulnérabilité due à un problème sur le traitement des certificats permet à un utilisateur mal intentionné, via l'utilisation d'un certificat malicieusement construit, de contourner l'authentification en mode EAP-TLS (Extensible Authentication Protocol Transport Layer Security).

Solution

Mettre à jour en appliquant le correctif disponible sur le site de l'éditeur ou remplacer la bibliothèque CSCRL.dll corrigée.

Documentation

Gestion détaillée du document

    le 04 novembre 2004
    version initiale.