La vulnérabilité a été corrigée dans la version 3.5.2. Cisco travail actuellement sur des patchs disponible gratuitement pour les clients affectés. Ceci est documenté comme CSCdx39290. Cisco n’est au courant d’aucune exploitation active de cette vulnérabilité.

Produits Affecté :

Cette vulnérabilité affecte les versions 3.5.1 et antérieure du client VPN de Cisco pour les plateformes Linux, Solaris, et Mac OS X.

La plateforme Windows n’est pas affectée ; aucun autre produit Cisco n’est affecté.

Details :

Le client VPN (Virtual Private Network) de Cisco établit un canal crypté entre le système local et le concentrateur VPN Cisco. Le canal fournit une confidentialité et une intégrité lors du transite des données, permetant à un utilisateur local de se connecter de manière sécurisée au réseau d’entreprise via le réseau publique.
Si un nom trop long est entré comme argument à la commande vpnclient, dépassement de tampon survient et écrase les valeurs retournées dans le stack système. Si un nom de profile trop long est entré comme argument de commande au vpnclient, un dépassement de tampon survient et écrase les valeurs retournées par le système stack. Le contenu de l'excessivement long nom de profil pourrait être utilisé pour exécuter des instructions arbitraires. Le dépassement de tampon peut seulement être effectué en exécutant la commande sur le vpnclient directement sur le système local.

Par défaut, la commande vpnclient est installée sur un système à base d'UNIX comme un fichier exécutable binaire avec des permissions setuid. Les fichiers avec le setuid s’exécutent avec les permissions "root", l'administrateur d'un système UNIX, les instructions arbitraires s’exécuteront avec les permissions root.

Au lieu de l'installation du logiciel corrigé, la vulnérabilité peut être atténuée en enlevant les permissions setuid sur le fichier binaire exécutable vpnclient comme indiqué ci-dessous. Cela ne peut pas empêcher un dépassement de tampon, mais limite le nombre de dégâts qui pourraient arriver.

Le problème a été résolu en ajoutant de meilleurs essais pour les dépassements de tampon et en enlevant les permissions setuid inutiles sur des fichiers exécutables dans le progiciel. Notez que le démon cvpnd, un autre des fichiers binaires exécutables du progiciel, conserve ses permissions setuid afin de préserver sa capacité de changer la configuration de l'interface de réseau. Cette capacité est essentielle pour l'établissement, la gestion et la suppression d’une connexion VPN.

Cette vulnérabilité est documentée comme CSCdx39290. Des détails peuvent être vus en ligne sur le site de Cisco.

Impact:

La vulnérabilité pourrait être exploitée par un utilisateur local pour exécuter des instructions arbitraires. Si le fichier binaire exécutable affecté est installé avec des permissions setuid, les instructions s’exécuteront avec les permissions root et pourraient être employées pour modifier n'importe quelle partie du système sans autorisation. Les permissions setuid sont mises par défaut dans le progiciel fourni par Cisco.

Software Versions and Fixes:

Cette vulnérabilité a été trouvée et annoncé dans le client VPN version 3.5.1 de Cisco pour Linux et a été confirmée pour Solaris et Mac OS X. Le logiciel a été réparé dans la version 3.5.2 pour ces plates-formes affectées et est disponible immédiatement. On considère vulnérables toutes les versions précédentes sur les plates-formes affectées.

Workarounds:
La vulnérabilité peut être atténuer en supprimant la permission "setuid" dans le fichier binaire executable du client VPN, en utilisant la commande chmod sur le fichier affecté comme suit : /bin/chmod 755 /usr/local/bin/vpnclient

Si des versions non corrigées du logiciel sont ré installées plus tard ou restaurées à partir d’un backup, le workaround ci dessus doit être exécuté au niveau.

Note : Le workaround ci dessus n’empêche pas le dépassement de tampon. Il limite simplement les dégâts qui peuvent arriver si le dépassement de tampon est exploité. Les clients sont priés de se mettre à jour aussitôt que possible.

Notez aussi que le fichier binaire exécutable cvpnd doit conserver ses permissions setuid pour fonctionner correctement. Les clients sont avertis ne pas employer des caractères de remplacement pour enlever les permissions setuid sur des fichiers dans le logiciel de Client VPN.