Risque

  • Accès à des données non autorisées

Systèmes affectés

Cisco Secure ACS pour Unix version 2.0 jusqu'à la version 2.3.5.1 incluse.

Résumé

Une vulnérabilité a été découverte dans l'utilitaire Acme.server présent dans CISCO Secure ACS.

Description

CISCO Secure Access Control Server (ACS) est un outil de centralisation des autorisations d'accès (AAA : Authentification, Authorization, Accounting). Une vulnérabilité a été découverte dans l'utilitaire Acme.server permettant l'administration distante via le port 9090/TCP.
Un utilisateur mal intentionné peut accéder à des données du disque en employant une syntaxe spécifique dans l'URL afin de remonter dans l'arborescence du disque. Cette vulnérabilité peut être employée afin de voler le fichier contenant les mots de passe.

Solution

Appliquer le correctif fourni par CISCO (cf. Documentation).

Documentation