Risques
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- Cisco Secure Services Client 4.x ;
- Cisco Security Agent (CSA) 5.x ;
- Cisco Trust Agent 1.x ;
- Cisco Trust Agent 2.x.
Résumé
Deux vulnérabilités dans Cisco Secure Services Client permettent à un utilisateur local de porter atteinte à la confidentialité des données ou d'élever ses privilèges.
Description
Une vulnérabilité causée par plusieurs erreurs notamment lors de l'exécution de programme ou lors de l'analyse syntaxique de commandes permet à un utilisateur local malveillant d'élever ses privilèges.
Une seconde vulnérabilité causée par la méthode d'autenfication permet à un utilisateur local malintentionné de porter atteinte à la confidentialité des mots de passe utilisés lors des connexions.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco ID 81676 du 21 février 2007 : http://www.cisco.com/warp/public/707/cisco-sa-20070221-supplicant.shtml