Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 25/4/2003
Et program fra Cisco, der anvendes til at styre adgangen til firmaets netværksudstyr, har en sårbarhed, som angribere udefra kan udnytte. Fejlen er nu rettet.Sårbarheden findes i programmet Cisco Secure Access Control Server til Windows - Unix-versionen er ikke berørt. Programmet styres via en web-grænseflade, der lytter på port 2002. Det har en sårbarhed i form af et bufferoverløb. Hvis en angriber udnytter sårbarheden, kan systemet gå ned. I værste fald kan angriberen få adgang til systemet med samme privilegier som systemadministratoren. Dermed kan han styre brugerkonti på routere, firewalls, VPN-udstyr, IP-telefonanlæg og andet udstyr, der administreres fra programmet.
Sikkerhedshullet findes i alle versioner til og med 2.6.4, 3.0.3 og 3.1.1. Cisco har lukket det med rettelsesprogrammer. Senere kommer version 3.0.4 og 3.1.2, hvori rettelsen vil være inkluderet.