Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

Cisco Secure Access Control Server version 4.0 et précédentes.

Résumé

Cisco Secure Access Control Server sert à l'authentification et au contrôle d'accès. Plusieurs vulnérabilités permettent à un utilisateur malveillant de provoquer un déni de service à distance et/ou une exécution de code arbitraire.

Description

Plusieurs vulnérabilités permettent à un utilisateur malveillant de provoquer un déni de service à distance et/ou une exécution de code arbitraire :

  • Une vulnérabilité dans le traitement des requêtes HTTP GET provoque un débordement de pile et un arrêt du service CSAdmin. Elle peut être exploitée pour l'exécution de code arbitraire.
  • Une vulnérabilité dans le traitement des requêtes RADIUS Accounting-Request provoque un débordement de pile et un arrêt du service CSRadius. Elle peut être exploitée pour l'exécution de code arbitraire.
  • Une vulnérabilité dans le traitement des requêtes RADIUS Access-Request provoque un arrêt du service CSRadius.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation