Tous les clients VPN, précédant la version 3.6 et 3.5.4, sont affectés par ces vulnérabilités sur toutes les plates – formes.

Le client VPN 5000 n’est pas affecté par ces vulnérabilités.
Aucun autre produit Cisco n’est actuellement connu affecté.

Détails :
Le client VPN sur un poste de travail distant, communiquant avec un dispositif VPN sur un réseau d’entreprise ou avec un service d’un fournisseur d’accès, crée une connexion sécurisée via Internet. Par cette connexion vous accédez au réseau privé comme si vous étiez sur le site.

Le client VPN possède les vulnérabilités suivantes :
- un paquet IKE (Internet Key Exchange) avec un SPI (Security Parameter Index) contenant plus de 16 bits entraîne un dépassement de tampon dans le client VPN.
- un paquet IKE avec plus de 57 payload valides entraîne un dépassement de tampon dans le client VPN.
- quand le client VPN reçoit un paquet erroné avec une longueur nulle, cela force la client VPN à utiliser 100% des ressources processeur du poste de travail.

Impact :
Quand les vulnerabilities sont exploitées, elles empêchent le bon fonctionnement du client VPN. Il n’y a pas d’incidence quant à la confidentialité et l’intégrité des données.