新闻快讯
< >

RSA身份验证代理爆两个高危漏洞(CVSS评分10)

RSA身份验证代理爆两个高危漏洞(CVSS评分10)-E安全

最近,RSA身份验证代理(RSA Authentication Agent)被爆存在两个关键性的高危漏洞,CVE-2017-14377和 CVE-2017-14378,允许攻击者绕过身份验证访问受保护资源。

第一个漏洞:CVE-2017-14377

漏洞细节:

用于Apache Web服务器的RSA身份验证代理如果设置为TCP模式,将允许攻击者通过特制的数据包触发验证错误逻辑,从而绕过身份验证获取到被保护资源的访问权限。RSA身份验证代理在默认的UDP模式下,不受此漏洞影响。

影响的产品及版本:

RSA® Authentication Agent for Web: Apache Web Server version 8.0

RSA® Authentication Agent for Web: Apache Web Server version 8.0.1 prior to Build 618

修复建议:

RSA已经发布了官方补丁(见以下链接),并建议所有用户尽快升级到安全版本。

https://community.rsa.com/community/products/securid/authentication-agent-web-apache

第二个漏洞:CVE-2017-14378

漏洞细节:

用于C版本8.5和8.6的RSA身份验证代理API / SDK在TCP模式时,由于对error处理不当,导致返回代码未能被应用恰当处理,从而导致身份验证被绕过。

影响的产品及版本:

RSA® Authentication Agent API 8.5 for C

RSA® Authentication Agent SDK 8.6 for C

修复建议:

RSA建议所有用户尽快升级到以下链接中的最新版本,同时请确保对API/SDK的实现符合“RSA Authentication Agent API for C开发人员指南”中记录的编码准则。