Risque
- Élévation de privilèges
Systèmes affectés
- Cisco VPN Client 2.x ;
- Cisco VPN Client 3.x ;
- Cisco VPN Client 4.x ;
- Cisco VPN Client 5.x.
D'autres produits sont affectés par la même vulnérabilité (BlueCoat Winproxy, produits SafeNet).
Résumé
Une vulnérabilité dans Cisco VPN Client permet à une personne malintentionnée locale d'élever ses privilèges.
Description
Une vulnérabilité a été découverte dans Cisco VPN Client dans le pilote Deterministic Network Enhancer dne2000.sys. Cette faille peut être exploitée par une personne malintentionnée locale pour exécuter du code arbitraire avec des privilèges système.
Les versions du pilote qui sont affectées sont 2.21.7.233 à 3.21.7.17464.
Solution
Mettre à jour Cisco VPN Client à la version 5.0.03.0530. La version 3.21.12.17902 du pilote DNE corrige également le problème.
Documentation
- Bulletin de sécurité Cisco CSCsm25860 http://tools.cisco.com/Support/BugToolkit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsm25860
- Mise à jour du pilote DNE : http://www.deterministicnetworks.com/support/dnesupport.asp
- Note de vulnérabilité de l'US-CERT VU#858993 du 18 juin 2008 : http://www.kb.cert.org/vuls/id/858993
