安全研究

安全漏洞
Cisco IPsec VPN客户端组密码泄露漏洞

发布日期:2004-04-15
更新日期:2004-04-20

受影响系统:
Cisco VPN Client for Windows 4.0.2 C
Cisco VPN Client for Windows 4.0.2 A
Cisco VPN Client for Windows 3.6.1
Cisco VPN Client for Windows 3.6 (Rel)
Cisco VPN Client for Windows 3.6
Cisco VPN Client for Windows 3.5.4
Cisco VPN Client for Windows 3.5.2 B
Cisco VPN Client for Windows 3.5.2
Cisco VPN Client for Windows 3.5.1 C
Cisco VPN Client for Windows 3.5.1
Cisco VPN Client for Windows 3.1
Cisco VPN Client for Windows 3.0.5
Cisco VPN Client for Windows 3.0
Cisco VPN Client for Windows 2.0
Cisco VPN Client for Linux 3.6.1
Cisco VPN Client for Linux 3.6
Cisco VPN Client for Linux 3.5.4
Cisco VPN Client for Linux 3.5.2 B
Cisco VPN Client for Linux 3.5.2
Cisco VPN Client for Linux 3.5.1
描述:
BUGTRAQ  ID: 10155

Cisco IPsec VPN客户端用于对VPN服务器进行加密连接。

Cisco IPsec VPN客户端对存储在内容中组密码没有进行加密,本地攻击者可以利用这个漏洞获得组密码信息而未授权对服务器进行访问。

Windows和Linux平台下的Cisco IPsec VPN客户端虽然对存储在硬盘上的组密码进行加密,但在内容中没有任何加密措施,获得此密码信息可未授权访问系统。

<*来源:Cisco PSIRT (psirt@cisco.com
  
  链接:http://www.cisco.com/warp/public/707/cisco-sn-20040415-grppass.shtml
*>

建议:
厂商补丁:

Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/index.htm

浏览次数:4596
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障