Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- CISCO ASA 5500 Series Adaptive Security Appliance Software 7.1 et 7.2 ;
- CISCO ASA 5500 Series Adaptive Security Appliance Software 8.6 et antérieures.
Résumé
Une vulnérabilité a été corrigée dans CISCO ASA 5500 Series Adaptive Security Appliance, qui peut être exploitée pour exécuter du code arbitraire à distance.
Description
Une vulnérabilité a été corrigée dans les contrôles ActiveX de la fonctionnalité « Clientless VPN » utilisée dans CISCO ASA 5500 Series Adaptive Security Appliance. Tout utilisateur ayant sollicité une fois cette fonctionnalité a téléchargé un ActiveX vulnérable. Un attaquant distant peut alors, en incitant l'utilisateur à naviguer sur un site spécialement conçu, exécuter du code arbitraire sur la machine de l'utilisateur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Les utilisteurs de cette fonctionnalité avant la mise en place du correctif restent vulnérables et devront utiliser les solutions de contournement indiquées dans ce bulletin de sécurité.
Documentation
- Bulletin de sécurité Cisco 20120314-asaclient du 15 mars 2012 :
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asaclient
- Référence CVE CVE-2012-0358 :
https://www.cve.org/CVERecord?id=CVE-2012-0358