8月27日,思科公司向客户警告称,其二款向防火墙、路由器等网络设备提供认证和授权服务的产品中存在安全漏洞。
思科公司于当地时间本周三发布的一则安全公告称,在其二款产品中存在“多个与拒绝服务攻击(DoS)和认证相关的”漏洞,这两款产品分别是Windows平台上的“思科安全访问控制服务器”(Windows ACS)和“思科安全访问控制服务器方案引擎”(Secure ACS)。思科公司表示,这些漏洞使黑客或恶意用户能够使ACS产品崩溃,或者非法访问网络设备。
ACS产品为其它思科公司的产品和管理应用程序提供集中化的用户身份管理功能,使管理人员能够管理和执行访问策略。
思科公司发现,在2002端口收到大量TCP连接请求后,Windows ACS和Secure ACS就会不再对新的TCP连接请求作出反应。这种拒绝服务的情形影响了ACS设备处理认证请求的能力,要恢复认证服务,用户必须重新启动ACS设备。
思科公司还发现,在一定的情况下,伪造正在访问ACS管理员用户界面的计算机的网络地址的黑客,能够在不首先要求注册的情况下访问该界面。
思科公司已经发布了ACS Windows 3.2、3.3以及Secure ACS的升级软件包。思科公司建议签订有服务合同的客户利用“思科产品升级工具”或通过与其“技术帮助中心”联系获得升级包。