Cisco VPN client存在多个安全漏洞

漏洞信息详情

Cisco VPN client存在多个安全漏洞

• CNNVD编号：CNNVD-200209-021
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0853
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-08-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  cisco
• 漏洞来源：
  Cisco PSIRT※ psirt…

Cisco Virtual Private Network(VPN) Client软件用来与Cisco VPN集中器进行通讯，它可运行在Windows、Solaris、redhat linux、Apple MaCOS等系统下。
Cisco VPN Client软件含有多个安全漏洞，攻击者可以利用这些漏洞使Cisco VPN Client软件程序无法正常工作。
它存在如下三个安全漏洞：
* 一个含有超过16字节Security Parameter Index(SPI)负载(payload)的Internet Key Exchange (IKE) 数据包可触发VPN Client缓冲区溢出。
* 一个含有超过57个负载的IKE数据包可触发VPN Client软件缓冲区溢出。
* VPN Client软件接收到负载长度为零的畸形数据包时，VPN Client软件会占用工作站100\\%的CPU资源。
这些漏洞的Cisco bug ID为CSCdy26045。

临时解决方法：
此问题没有合适的临时解决方法。
厂商补丁：
Cisco
—–
Cisco已经为此发布了一个安全公告(Cisco-vpnclient)以及相应补丁:

Cisco-vpnclient：Cisco Security Advisory: Cisco VPN Client Multiple Vulnerabilities

链接：http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml” target=”_blank”>
http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml

补丁下载：

这些漏洞在Cisco VPN Client version 3.6及此后版本中已得到修复，现已提供下载。VPN Client version 3.5.4及此后版本中也将含有这一补丁，2002年9月30日将提供下载。

关于在不同平台中升级到已修复版本，详情请见：

http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/” target=”_blank”>
http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/

来源:US-CERT Vulnerability Note: VU#287771
名称: VU#287771
链接:http://www.kb.cert.org/vuls/id/287771

来源: CISCO
名称: 20020812 Cisco VPN Client Multiple Vulnerabilities
链接:http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml

来源: BID
名称: 5440
链接:http://www.securityfocus.com/bid/5440

来源: XF
名称: cisco-vpn-zerolength-dos(9821)
链接:http://www.iss.net/security_center/static/9821.php