RSA认证SDK爆出两个高危漏洞CVE-2017-14377、CVE-2017-14378

阅读量    55652 | 评论 2

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

CVE-2017-14377(高危)

http://seclists.org/fulldisclosure/2017/Nov/46
由RSA认证代理for Web for Apache Web Server的输入验证漏洞造成的认证绕过漏洞。

漏洞细节

若RSA认证代理配置为默认的UDP模式,则不受此漏洞影响;而如果使用的是TCP模式,远程未认证的攻击者可通过构造特定的数据包触发验证错误逻辑,从而获取目标被保护资源的访问权限。

RSA官方已发布补丁,建议用户赶紧升级
https://community.rsa.com/community/products/securid/authentication-agent-web-apache

CVE-2017-14378(高危)

http://seclists.org/fulldisclosure/2017/Nov/48
RSA认证代理的SDK for C(版本8.5 and 8.6),使用该SDK的系统受到此漏洞影响。

漏洞细节

RSA认证代理 API/SDK版本8.5/8.6 for C 在处理error的时候存在漏洞。当使用TCP异步模式时,由于对error处理不当,导致返回代码未能被应用恰当处理,从而导致认证被绕过。

存在漏洞的C语言版本的SDK:
https://community.rsa.com/docs/DOC-40601#agents

以下组件不受影响:

RSA Authentication Agent API/SDK for Java;
RSA Authentication Agent API for C版本8.5之前;
RSA Authentication Manager SDK and RSA SecurID® Mobile SDK

修复建议:

升级至
RSA Authentication Agent API 8.5.1 for C
RSA Authentication Agent SDK 8.6.1 for C
RSA建议所有受影响的用户抓紧升级至此版本,并确保对API/SDK的的实现遵循RSA认证代理API for C的规范。

https://community.rsa.com/docs/DOC-40601#agents

 

参考

https://www.theregister.co.uk/2017/12/03/rsa_auhentication_bugs/

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多