思科系统公司发布的安全补丁的安全访问控制服务器(ACS安全)的Windows,以解决关键的漏洞,该漏洞可能允许非授权用户远程执行任意命令,并利用底层操作系统的控制。
[也:最坏的数据泄露的2013的12]
思科安全ACS是一个应用程序,使企业能够集中管理访问网络资源为各种类型的设备和用户。据思科的文档,它会强制VPN,无线和其他网络用户的访问控制策略和IT管理员进行身份验证,授权命令,并提供审计线索。
思科ACS支持两种网络接入控制协议:远程访问拨入用户服务(RADIUS)和终端访问控制器访问控制系统(TACACS +)。
新修补的漏洞被标识为CVE-2013-3466和影响的Cisco Secure ACS的Windows版本4.0通过4.2.1.15当配置为通过安全隧道(EAP-FAST)身份验证可扩展身份验证协议进行灵活身份验证RADIUS服务器。
“该漏洞是由于使用EAP-FAST身份验证用户身份的解析不当,”思科周三表示,在安全咨询。“攻击者可以通过发送特制EAP-FAST分组到受影响的设备利用此漏洞。”
“在成功利用此漏洞可能允许未经身份验证的远程攻击者执行任意命令,并采取底层操作系统的主机思科在系统用户在微软Windows上运行的Cisco Secure ACS的背景下Secure ACS的应用程序的完全控制,”该公司表示。
该漏洞接收的最大严重程度评分,10.0,在普通漏洞评分系统(CVSS),这表明它是非常关键的。思科安全ACS for Windows版本4.2.1.15.11发布,以解决该漏洞。
没有已知的解决方法,所以建议升级到应用程序的修补版本。