Cisco zlikwidował dziurę wykrytą w oprogramowaniu Secure ACS for Windows
-
- Janusz Chustecki,
- 30.08.2013, godz. 11:13
Cisco udostępnił nową wersję oprogramowania Secure ACS for Windows, w której załatał wykrytą wcześniej, groźną dziurę. Pozwalała ona włamywaczowi przejmować kontrolę nad urządzeniem pracującym pod kontrolą tego oprogramowania i wykonywać zdalnie operacje zastrzeżone dla administratora systemu.
Cisco Secure ACS to aplikacja, która pozwala firmom zarządzać dostępem do wszystkich zasobów sieciowych. Wspiera ona dwa protokoły kontrolujące dostęp do zasobów: Remote Access Dial In User Service (RADIUS) i Terminal Access Controller Access-Control System Plus (TACACS+).
Dziura wykryta w oprogramowaniu Cisco Secure ACS została zidentyfikowana jako CVE-2013-3466. Znajduje się ona w oprogramowaniu Cisco Secure ACS for Windows od wersji 4.0 do wersji 4.2.1.15, skonfigurowanym jako serwer RADIUS wspierający uwierzytelnianie Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST).
Zobacz również:
Dziura została uznana za wyjątkowo niebezpieczną, gdyż Common Vulnerability Scoring System (CVSS; system oceniający poziom złośliwości zagrożenia) przypisał jej maks. liczbę punktów (10). Nowe oprogramowanie Cisco Secure ACS for Windows, w którym nie ma już dziury CVE-2013, nosi numer 4.2.1.15.11.
