Несколько уязвимостей в Cisco Secure Access Control Server для Windows и Cisco Secure Access Control Server Solution Engine

Уязвимые версии: Cisco Secure Access Control Server 3.2 i, 3.2(2) build 15, и 3.2(3)

Описание: Несколько уязвимостей обнаружено в Cisco Secure Access Control Server для Windows и Cisco Secure Access Control Server Solution Engine. Удаленный пользователь может вызвать условия отказа в обслуживании. Удаленный пользователь может внедриться в административную сессию.

Удаленный пользователь может затопить множественными TCP подключениями web интерфейс управления CSAdmin (tcp/2002) чтобы заставить ACS Windows и ACS Solution Engine перестать обрабатывать новые подключения на этом порту. Для восстановления нормальной работы потребуется перезагрузка системы. [Bug ID CSCeb60017 и CSCec66913].

Когда конфигурация Cisco Secure ACS поддерживает использование Authentication Protocol (LEAP) RADIUS Proxy аутентификации, устройство может аварийно завершить работу при обработке LEAP запросов. . Для восстановления нормальной работы потребуется перезагрузка системы. [Bug ID CSCec90317].

Удаленный пользователь может авторизоваться в системе с пустым паролем, если Cisco Secure ACS использует анонимную связь на Novell Directory Services (NDS) сервере. [Bug ID CSCed81716].

Удаленный пользователь может подменить IP адрес авторизованного административного пользователя (который использует административный интерфейс на 2002 порту) и подключится к случайным портам, которые использует административный интерфейс, чтобы получить неавторизованный доступ к административному интерфейсу. [Bug ID CSCef05950]

URL производителя: http://www.cisco.com/en/US/products/products_security_advisory09186a00802a9d51.shtml

Решение:См. http://www.cisco.com/en/US/products/products_security_advisory09186a00802a9d51.shtml

Ссылки: Cisco Security Advisory: Multiple Vulnerabilities in Cisco Secure Access Control Server