最近,RSA身份验证代理(RSA Authentication Agent)被爆存在两个关键性的高危漏洞,CVE-2017-14377和 CVE-2017-14378,允许攻击者绕过身份验证访问受保护资源。
第一个漏洞:CVE-2017-14377漏洞细节:用于Apache Web服务器的RSA身份验证代理如果设置为TCP模式,将允许攻击者通过特制的数据包触发验证错误逻辑,从而绕过身份验证获取到被保护资源的访问权限。RSA身份验证代理在默认的UDP模式下,不受此漏洞影响。
影响的产品及版本:RSA Authentication Agent for Web: Apache Web Server version 8.0
RSA Authentication Agent for Web: Apache Web Server version 8.0.1 prior to Build 618
修复建议:RSA已经发布了官方补丁(见以下链接),并建议所有用户尽快升级到安全版本。
https://community.rsa.com/community/products/securid/authentication-agent-web-apache
第二个漏洞:CVE-2017-14378漏洞细节:用于C版本8.5和8.6的RSA身份验证代理API / SDK在TCP模式时,由于对error处理不当,导致返回代码未能被应用恰当处理,从而导致身份验证被绕过。
影响的产品及版本:RSA Authentication Agent API 8.5 for C
RSA Authentication Agent SDK 8.6 for C
修复建议:RSA建议所有用户尽快升级到以下链接中的最新版本,同时请确保对API/SDK的实现符合“RSA Authentication Agent API for C开发人员指南”中记录的编码准则。