RSA Authentication SDK存在两处关键漏洞

      安全研究人员近期发现 RSA Authentication SDK （软件工具开发包）中存在两处关键漏洞 CVE-2017-14377、CVE-2017-14378，能够允许攻击者绕过身份验证机制后远程执行未授权操作。

      第一处漏洞 CVE-2017-14377（CVSS v3 基础评分：10）：允许攻击者通过发送一份精心设计的数据包触发漏洞后绕过用户身份验证，并可在未经授权下远程访问目标系统重要资源。不过，仅当 Apache Web Server 的 RSA 身份验证代理程序配置为 TCP 协议与 RSA Authentication Manager 服务器进行通信时才会存在此漏洞现象。使用默认配置的 UDP 协议并不易遭受黑客攻击。

受影响版本：

RSA Authentication Agent for Web: Apache Web Server version 8.0
RSA Authentication Agent for Web: Apache Web Server version 8.0.1 prior to Build 618

      第二处漏洞 CVE-2017-14378（CVSS v3 基础评分：10）：允许攻击者通过该漏洞绕过身份验证。据悉，该漏洞主要存在于 RSA Auth Agent SDK C 版本，这意味着使用 SDK 开发的其他系统都普遍受到该漏洞影响。但是，该漏洞并不会影响 SDK  Java 版本。

受影响版本：

EMC RSA Authentication Agent SDK for C 8.6
EMC RSA Authentication Agent API for C 8.5

解决方法：

RSA 建议所有受影响客户尽早升级至安全版本

消息来源：securityaffairs.co

转自 HackerNews.cc 

标签： 安全 服务器 漏洞 通信 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。