S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 novembre 2004
N° CERTA-2004-AVI-359
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Cisco Secure ACS

Gestion du document

Référence CERTA-2004-AVI-359
Titre Vulnérabilité dans Cisco Secure ACS
Date de la première version04 novembre 2004
Date de la dernière version04 novembre 2004
Source(s) Bulletin de sécurité CISCO
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Élévation des privilèges

Systèmes affectés

  • Cisco Secure ACS Solution Engine versions 3.x antérieures à la version 3.3.2;
  • Cisco Secure ACS versions 3.3.x antérieures à la version 3.3.2.

Résumé

Une vulnérabilité présente dans Cisco Secure ACS et Cisco Secure ACS Solution Engine permet à un utilisateur mal intentionné de contourner l'authentification.

Description

Une vulnérabilité due à un problème sur le traitement des certificats permet à un utilisateur mal intentionné, via l'utilisation d'un certificat malicieusement construit, de contourner l'authentification en mode EAP-TLS (Extensible Authentication Protocol Transport Layer Security).

Solution

Mettre à jour en appliquant le correctif disponible sur le site de l'éditeur ou remplacer la bibliothèque CSCRL.dll corrigée.

Documentation

Gestion détaillée du document

    le 04 novembre 2004
    version initiale.