Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • CISCO ASA 5500 Series Adaptive Security Appliance Software 7.1 et 7.2 ;
  • CISCO ASA 5500 Series Adaptive Security Appliance Software 8.6 et antérieures.

Résumé

Une vulnérabilité a été corrigée dans CISCO ASA 5500 Series Adaptive Security Appliance, qui peut être exploitée pour exécuter du code arbitraire à distance.

Description

Une vulnérabilité a été corrigée dans les contrôles ActiveX de la fonctionnalité « Clientless VPN » utilisée dans CISCO ASA 5500 Series Adaptive Security Appliance. Tout utilisateur ayant sollicité une fois cette fonctionnalité a téléchargé un ActiveX vulnérable. Un attaquant distant peut alors, en incitant l'utilisateur à naviguer sur un site spécialement conçu, exécuter du code arbitraire sur la machine de l'utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Les utilisteurs de cette fonctionnalité avant la mise en place du correctif restent vulnérables et devront utiliser les solutions de contournement indiquées dans ce bulletin de sécurité.

Documentation