Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
Tous les clients VPN CISCO antérieurs aux versions 3.6 et 3.5.4.
Résumé
Trois vulnérabilités ont été découvertes dans le client VPN de CISCO.
Description
Le client VPN (Virtual Private Network) permet d'établir des tunnels chiffrés entre le système local et un concentrateur VPN. Celui-ci garantit la confidentialité et l'intégrité des données qu'il transporte.
Trois vulnérabilités sont présentes dans ce client :
- Deux débordements de mémoire permettent à un individu mal intentionné d'exécuter du code arbitraire ;
- l'envoi de paquets malicieusement construits permet d'effectuer un déni de service.
Solution
Appliquer le correctif (cf. Documentation).
Documentation
- Bulletin de sécurité CISCO "Cisco VPN Client Multiple Vulnerabilities" : http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml