Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Cisco AnyConnect Secure Mobility Client : élévation de privilèges

novembre 2015 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut utiliser Cisco AnyConnect Secure Mobility
Client, afin d’élever ses privilèges sur Linux ou Mac OS X.

Produits concernés : Cisco AnyConnect Secure Mobility Client.

Gravité : 2/4.

Date création : 24/09/2015.

Date révision : 24/09/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Cisco AnyConnect Secure Mobility Client peut être
installé sur Linux (archive .tar.gz) et Mac OS X (archive .dmg).

Cisco AnyConnect Secure Mobility Client appelle le script
/opt/cisco/anyconnect/bin/vpndownloader.app/Contents/Resources/install-dmg.sh
(sous Mac OS X) avec les privilèges root. Cependant, un attaquant
local peut altérer la variable $DMG, pour monter un fichier DMG
à un endroit choisi (/private/etc), et altérer la configuration,
pour obtenir les droits root.

Un attaquant local peut donc utiliser Cisco AnyConnect Secure
Mobility Client, afin d’élever ses privilèges sur Linux ou Mac
OS X.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Cisco-AnyConnect-Secure-Mobility-Client-elevation-de-privileges-17968


Voir les articles précédents

    

Voir les articles suivants