RSA认证SDK中被曝两个严重漏洞

近日,研究人员在RSA的实现代码中发现了两个严重的身份认证漏洞,如果你的代码中实现了RSA的认证SDK,那你的项目很可能已经成功“继承”了这两个安全漏洞!看来RSA的开发人员以及广大应用管理员们又得有两个高危漏洞需要去修复啦!

输入验证漏洞-CVE-2017-14377

根据安全研究人员透露的信息,这个安全漏洞(CVE-2017-14377)存在于RSA的软件之中,而这个软件专用于为Apache提供基于Web的身份认证功能。由于RSA的ApacheWeb服务器认证代理中存在一个“输入验证问题”,因此才导致了这个认证绕过漏洞存在。

如果认证代理使用的是UDP的话,那就没有问题了。但是如果它使用的是TCP,那么未经身份认证的远程攻击者就可以向其发送一个经过专门设计的恶意数据包,然后触发一次验证错误,便能够访问到目标服务器中的资源。

目前,RSA已经发布了相关的漏洞补丁,有需要的用户可以点击【https://community.rsa.com/community/products/securid/authentication-agent-web-apache】进行下载。

错误处理漏洞-CVE-2017-14378

另一个严重的安全漏洞存在于RSA的身份认证代理SDK(C语言版)中,这也就意味着任何部署了这个SDK的系统都将会受到这个漏洞的影响。

研究人员表示,8.5版本和8.7版本的SDK(RSA)中存在一个错误处理漏洞(CVE-2017-14378)。这个漏洞将影响TCP异步模式实现,如果攻击者能够触发这个错误处理漏洞,他们将能够绕过目标系统中的身份认证限制。

需要注意的是,这个漏洞并不会影响RSA的Java版本SDK。已修复版本的SDK可点击【https://community.rsa.com/docs/DOC-40601#agents】获取。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171211B0KGHQ00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区