Description :
Quelques vulnérabilités ont été identifiées dans Cisco VPN Client, qui pourraient être exploitées par des utilisateurs locaux malveillants pour obtenir des privilèges plus élevés.
1) Une erreur en utilisant un profil VPN configuré pour utiliser the Microsoft Dial-Up Networking Interface pourrait être exploitée à exécuter des commandes arbitraires avec les privilèges de le compte LocalSystem en activant le "Start Before Logon" feature.
La vulnérabilité est rapportée en versions inférieures à 4.8.02.0010.
2) Des permissions incorrectes sont définies pour cpvnd.exe pendant l'installation du Client VPN Cisco. Cela pourrait être exploité par des utilisateurs interactifs à lancer des commandes arbitraires avec les privilèges de le compte LocalSystem en remplaçant cvpnd.exe avec un fichier arbitraire.
La vulnérabilité est rapportée en versions inférieures à 5.0.01.0600.
Solutions :
1) Mettre à jour en version 4.8.02.0010 (MSI et IS packages).
2) Mettre à jour en version 5.0.01.0600 (MSI package).
Vulnérabilité découverte par :
L'éditeur crédite Dominic Beecher et Next Generation Security Software.
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS
