Passwort-Klau: Cisco stopft ein Loch beim Secure Access Control

Per Update werde die Lücke nun geschlossen. Sie hätte Angreifern potentiell erlaubt, alle vorhandenen Passwörter zurückzusetzen, ohne sie kennen zu müssen. Danach wären die Nutzerkonten für jegliche Manipulation offen gewesen. Die ursprünglichen Besitzer wären natürlich nicht mehr in der Lage, ihre Accounts zu erreichen.

Da das ein schwerwiegendes Problem wäre, rät Cisco allen Firmenkunden, das Security Update unverzüglich zu installieren. Während Nutzer von ACS 5.1 den Patch-6-Release nutzen können, wird den Firmen mit ACS 5.2 geraten, das Patch-3-Update auszuführen. Die installierte Version lasse sich durch Eingabe von »show version« in der Kommandozeile herausfinden.

Ergänzend veröffentlichte Cisco noch einen Patch für sein Network Admission Control (NAC). Damit wird eine Schwachstelle gefixt, bei der unautorisierte Nutzer beim Login das Sicherheitssystem umgehen könnten. Insbesondere bei Versionen vor dem NAC Guest Server 2.0.3 sollte ein Update gefahren und der Patch ausgeführt werden.