Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Cisco Secure Access Control Server version 4.0 et précédentes.
Résumé
Cisco Secure Access Control Server sert à l'authentification et au contrôle d'accès. Plusieurs vulnérabilités permettent à un utilisateur malveillant de provoquer un déni de service à distance et/ou une exécution de code arbitraire.
Description
Plusieurs vulnérabilités permettent à un utilisateur malveillant de provoquer un déni de service à distance et/ou une exécution de code arbitraire :
- Une vulnérabilité dans le traitement des requêtes HTTP GET provoque un débordement de pile et un arrêt du service CSAdmin. Elle peut être exploitée pour l'exécution de code arbitraire.
- Une vulnérabilité dans le traitement des requêtes RADIUS Accounting-Request provoque un débordement de pile et un arrêt du service CSRadius. Elle peut être exploitée pour l'exécution de code arbitraire.
- Une vulnérabilité dans le traitement des requêtes RADIUS Access-Request provoque un arrêt du service CSRadius.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco ID 77820 du 05 janvier 2007 : http://www.cisco.com/warp/public/707/cisco-sa-20070105-csacs.shtml