S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 août 2002
N° CERTA-2002-AVI-188
Affaire suivie par: CERT-FR
le 23 août 2002

Avis du CERT-FR

Objet: Multiples vulnérabilités dans le client VPN CISCO

Gestion du document

Référence CERTA-2002-AVI-188
Titre Multiples vulnérabilités dans le client VPN CISCO
Date de la première version 23 août 2002
Date de la dernière version 23 août 2002
Source(s) Bulletin de securite CISCO
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • Déni de service.

Systèmes affectés

Tous les clients VPN CISCO antérieurs aux versions 3.6 et 3.5.4.

Résumé

Trois vulnérabilités ont été découvertes dans le client VPN de CISCO.

Description

Le client VPN (Virtual Private Network) permet d'établir des tunnels chiffrés entre le système local et un concentrateur VPN. Celui-ci garantit la confidentialité et l'intégrité des données qu'il transporte.

Trois vulnérabilités sont présentes dans ce client :

  • Deux débordements de mémoire permettent à un individu mal intentionné d'exécuter du code arbitraire ;
  • l'envoi de paquets malicieusement construits permet d'effectuer un déni de service.

Solution

Appliquer le correctif (cf. Documentation).

Documentation

Bulletin de sécurité CISCO "Cisco VPN Client Multiple Vulnerabilities" :

http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml

Gestion détaillée du document

    le 23 août 2002
    version initiale.