Risque
- Exécution de code arbitraire ;
- Déni de service.
Systèmes affectés
Tous les clients VPN CISCO antérieurs aux versions 3.6 et 3.5.4.
Résumé
Trois vulnérabilités ont été découvertes dans le client VPN de CISCO.
Description
Le client VPN (Virtual Private Network) permet d'établir des tunnels chiffrés entre le système local et un concentrateur VPN. Celui-ci garantit la confidentialité et l'intégrité des données qu'il transporte.
Trois vulnérabilités sont présentes dans ce client :
- Deux débordements de mémoire permettent à un individu mal intentionné d'exécuter du code arbitraire ;
- l'envoi de paquets malicieusement construits permet d'effectuer un déni de service.
Solution
Appliquer le correctif (cf. Documentation).
Documentation
Bulletin de sécurité CISCO "Cisco VPN Client Multiple Vulnerabilities" :
http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml