Risques

  • Contournement de la politique de sécurité
  • Élévation des privilèges

Systèmes affectés

  • Cisco Secure ACS Solution Engine versions 3.x antérieures à la version 3.3.2;
  • Cisco Secure ACS versions 3.3.x antérieures à la version 3.3.2.

Résumé

Une vulnérabilité présente dans Cisco Secure ACS et Cisco Secure ACS Solution Engine permet à un utilisateur mal intentionné de contourner l'authentification.

Description

Une vulnérabilité due à un problème sur le traitement des certificats permet à un utilisateur mal intentionné, via l'utilisation d'un certificat malicieusement construit, de contourner l'authentification en mode EAP-TLS (Extensible Authentication Protocol Transport Layer Security).

Solution

Mettre à jour en appliquant le correctif disponible sur le site de l'éditeur ou remplacer la bibliothèque CSCRL.dll corrigée.

Documentation