2013年8月31日 星期六

思科修補Secure ACS伺服器內重大遠端指令執行弱點

思科修補Secure ACS伺服器內重大遠端指令執行弱點

思科系統(Cisco)發佈解決Windows版安全存取控制伺服器(Secure Access Control Server, Secure ACS)重大安全漏洞的安全更新修補程式,透過該安全漏洞,未經授權的惡意攻擊者得以遠端執行任意指令,並進而控制底層作業系統。

思科Secure ACS是一款允許企業能對各類型裝置與使用者的網路資源存取行為,加以集中控管的應用軟體。

根據思科相關文件指出,透過該軟體可針對VPN、無線網路及其他網路使用者實施存取控制政策,同時也能進行管理者的身分驗證、授權指令、以及對相關軌跡資料進行稽核。

思科Secure ACS支援2個網路存取控制協定:RADIUS(Remote Access Dial In User Service)與TACACS+(Terminal Access Controller Access-Control System Plus )。

全新修補的安全漏洞被列入公告編號CVE-2013-3466的安全公告之中,同時會在Cisco Secure ACS for Windows 4.0 – 4.2.1.15被設定成為支援EAP-FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling)驗證的RADIUS伺服器時,而造成Secure ACS的影響。

「該漏洞是因為採用EAP-FASP進行使用者身分驗證的不當解析所致,」思科於本週三發佈的安全公告中指出:「如此一來,惡意攻擊者可透過發送EAP-FAST惡意封包,到有安全弱點疑慮的裝置上,進行漏洞攻擊。」


「一旦成功發動漏洞攻擊,將會導致未合法授權的遠端惡意攻擊者,得以擁有執行任意指令的能力,並進而完全掌控底層作業系統,該底層作業系統會替運行Microsoft Windows上Secure ACS,系統使用者情境中Secure ACS應用之控管。」該公司表示。

資料來源:PCWorld
轉載自《網路資訊雜誌》