-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 07/09/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Ejecución remota de código a través de RADIUS en Cisco Secure ACS
-----------------------------------------------------------------

Cisco ha publicado una actualización que corrige una vulnerabilidad en
Cisco Secure ACS que podría permitir a un atacante remoto ejecutar
código arbitrario.

La vulnerabilidad consiste en un error en RADIUS al analizar la longitud
de un paquete de respuesta EAP (Extensible Authentication Protocol). Un atacante remoto actuando como cliente RADIUS podría provocar una
denegación de servicio a través de un paquete EAP especialmente
manipulado. También es posible conseguir la ejecución de código
arbitrario.

Se confirma la vulnerabilidad para todos las versiones de Cisco Secure
ACS para Windows y las siguientes versiones de Cisco Secure ACS Solution
Engine (ACSE):
* Para la rama 3.x.y: Versiones inferiores a 3.3 compilación 12 con
parche 6.
* Para la rama 4.0.x: Todas las versiones.
* Para la rama: 4.1.x: Versiones inferiores a 4.1 compilación 13 con
parche 10.
* Para la rama 4.2.x: Versiones inferiores a 4.2 compilación 124 con
parche 3.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en: http://www.cisco.com/en/US/products/products_security_response09186a00809f140b.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3606/comentar

Más información:

Cisco Security Response: Cisco Secure ACS Denial Of Service Vulnerability http://www.cisco.com/warp/public/707/cisco-sr-20080903-csacs.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Tal día como hoy:
-----------------

07/09/2007: Microsoft publicará cinco boletines de seguridad el próximo martes
http://www.hispasec.com/unaaldia/3240

07/09/2006: El SMiShing llega a España
http://www.hispasec.com/unaaldia/2875

07/09/2005: Tratamiento inseguro de archivos temporales en CVS 1.12
http://www.hispasec.com/unaaldia/2510

07/09/2004: Importante actualización de seguridad para Mac OS X
http://www.hispasec.com/unaaldia/2144

07/09/2003: Alerta: Agujero crítico en Internet Explorer
http://www.hispasec.com/unaaldia/1778

07/09/2002: Múltiples vulnerabilidades en la serie Cisco VPN 3000
http://www.hispasec.com/unaaldia/1413

07/09/2001: Vulnerabilidad en fetchmail
http://www.hispasec.com/unaaldia/1048

07/09/2000: Ejecución de código arbitrario en "PROFTPD"
http://www.hispasec.com/unaaldia/683

07/09/2000: AIX permite borrar las estadísticas de red
http://www.hispasec.com/unaaldia/682

07/09/1999: ALERTA VÍRICA: "Cholera", un i-worm de nueva generación
http://www.hispasec.com/unaaldia/315


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)