Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Cisco Secure Desktop |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Networking |
Software afectado | Cisco Secure Desktop < 3.1.1.33 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Cisco Secure Desktop (CSD). Las vulnerabilidades son descritas a continuación: - CVE-2006-5806: Esta vulnerabilidad reside en un error en la configuración inicial del navegador de internet cuando establece una sesión SSL VPN. Un atacante podría guardar archivos descargados durante la navegación fuera del dominio de CSD lo que resultaría en ficheros desencriptados en el sistema después de terminar la sesión SSL VPN. - CVE-2006-5807: Esta vulnerabilidad reside en un error en la configuración de CSD que no prevé el intercambio de escritorios. Un atacante podría navegar entre escritorios seguros de CSD y no seguros como el local cuando utiliza ciertas aplicaciones. - CVE-2006-5808: Esta vulnerabilidad reside en un error en los permisos por defecto en los directorios donde CSD está instalado y sus superiores. Un atacante local podría elevar sus privilegios remplazando ciertos ejecutables de CSD que se ejecutan como servicios locales debido a que los permisos permitirían a un atacante modificar el contenido de los archivos CSD así como borrarlos, y renombrarlos. |
|
Solución |
|
Actualización de software Cisco Cisco Secure Desktop 3.1.1.45 http://www.cisco.com/pcgi-bin/tablebuild.pl/securedesktop?psrtdcat20e2 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2006-5806 CVE-2006-5807 CVE-2006-5808 |
BID | 20964 |
Recursos adicionales |
|
Cisco Security Advisory (72020) http://www.cisco.com/warp/public/707/cisco-sa-20061108-csd.shtml |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-11-09 |
1.1 | CVE añadido | 2006-11-22 |