Revelación de información sensible en Cisco VPN 3000
Se ha descubierto una debilidad en el concentrador Cisco VPN 3000 que puede ser explotada por usuarios maliciosos para conseguir acceso a cierta información.
El problema se debe a que dicho dispositivo devuelve respuestas diferentes dependiendo de si se ha dado un nombre válido de grupo o no cuando está configurado para autenticar nombres de grupo.
Una vez se ha conseguido un nombre válido de grupo, puede facilitar las cosas para conseguir el hash de la clave del grupo.
Se recomienda tanto actualizar a la versión 4.7.1 como utilizar un método alternativo de autenticación.