Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service
Systèmes affectés
- Cisco Clean Access versions 3.3.0 à 3.3.9 ;
- Cisco Clean Access versions 3.4.0 à 3.4.5 ;
- Cisco Clean Access versions 3.5.0 à 3.5.3.
Résumé
Une vulnérabilité dans Cisco Clean Access permet à un utilisateur mal intentionné du réseau local de provoquer un déni de service, de contourner la politique de sécurité ou de porter atteinte à la confidentialité des données.
Description
Cisco Clean Access est une solution logicielle permettant de gérer les accès des machines au réseau local. Elle comprend une API (Application Program Interface) donnant accès à différentes fonctionnalités.
Un manque de contrôle dans l'utilisation de ces fonctionnalités permet à un utilisateur mal intentionné du réseau local, par le biais d'un script malicieusement construit, de provoquer un déni de service en ajoutant une machine cible dans la liste des machines à rejeter. Elle permet également de contourner la politique de sécurité en ajoutant une machine arbitraire dans la liste des machines de confiance. Elle permet enfin d'atteindre à la confidentialité des données disponibles dans la configuration de Cisco Clean Access.
Solution
Se référer au bulletin de sécurité Cisco pour appliquer le correctif approprié (cf. Documentation).
Documentation
- Bulletin de sécurité Cisco 66068 du 17 août 2005 http://www.cisco.com/warp/public/707/cisco-sa-20050817-cca.shtml
- Bulletin de sécurité Cisco 66147 du 22 août 2005 : http://www.cisco.com/warp/public/707/cisco-sn-20050822-cca.shtml http://www.cisco.com/warp/public/707/cisco-sa-20050822-cca.shtml
