最近，RSA身份验证代理（RSA Authentication Agent）被爆存在两个关键性的高危漏洞，CVE-2017-14377和 CVE-2017-14378，允许攻击者绕过身份验证访问受保护资源。

第一个漏洞：CVE-2017-14377漏洞细节：

用于Apache Web服务器的RSA身份验证代理如果设置为TCP模式，将允许攻击者通过特制的数据包触发验证错误逻辑，从而绕过身份验证获取到被保护资源的访问权限。RSA身份验证代理在默认的UDP模式下，不受此漏洞影响。

影响的产品及版本：

RSA Authentication Agent for Web: Apache Web Server version 8.0

RSA Authentication Agent for Web: Apache Web Server version 8.0.1 prior to Build 618

修复建议：

RSA已经发布了官方补丁（见以下链接），并建议所有用户尽快升级到安全版本。

https://community.rsa.com/community/products/securid/authentication-agent-web-apache

第二个漏洞：CVE-2017-14378漏洞细节：

用于C版本8.5和8.6的RSA身份验证代理API / SDK在TCP模式时，由于对error处理不当，导致返回代码未能被应用恰当处理，从而导致身份验证被绕过。

影响的产品及版本：

RSA Authentication Agent API 8.5 for C

RSA Authentication Agent SDK 8.6 for C

修复建议：

RSA建议所有用户尽快升级到以下链接中的最新版本，同时请确保对API/SDK的实现符合“RSA Authentication Agent API for C开发人员指南”中记录的编码准则。