Eine bereits im Januar beschriebene Schwachstelle in Ciscos "VPN 3000 Concentrator" mit der aktivierten WebVPN-Option scheint alle Versionen des Produkts zu betreffen. Sicherheitsexperte Eldon Sprickerhoff hatte herausgefunden, dass sie es Angreifern ermöglicht, mittels manipulierter http-Pakete einen Absturz herbeizuführen.

Im Rahmen einer am vergangenen Freitag erfolgten Testinstallation des Cisco-Concentrators im Zusammenspiel mit einem kürzlich veröffentlichten Patch zeigte sich, dass das Update das Problem offenbar nicht aus der Welt schaffen konnte. So soll es Sprickerhoff, der mit Cisco an der Lösung des Problems arbeitet, eine erfolgreiche Denial-of-Service-Attacke (DoS) gelungen sein. Mittlerweile hat der Netzausrüster sowohl die Ergebnisse als auch die Schwachstelle bestätigt. Ein Sprecher des Unternehmens teilte mit, dass Ciscos Product Security Response Team derzeit weitere Tests durchführt und das bisherige Advisory entsprechend aktualisieren wird. Bis dahin empfiehlt der Hersteller, sich an die bereits beschriebenen Schutzmaßnahmen zu halten.

Cisco hat bereits in der Vergangenheit versucht, das Sicherheitsloch zu flicken - zuletzt in der Softwareversion 4.7.2B. Nachdem das Problem danach als gelöst galt, ist davon auszugehen, dass nicht nur - wie in dem derzeitigen Advisory beschrieben - die Versionen 4.7.0 bis 4.7.2A, sondern auch die nachfolgenden Releases 4.7.2B, 4.7.2C und 4.7.2D von der Schwachstelle betroffen sind. (kf)