rsa身份验证代理爆两个高危漏洞(cvss评分10)
2017-12-06 09:21:57
最近,rsa身份验证代理(rsa authentication agent)被爆存在两个关键性的高危漏洞,cve-2017-14377和 cve-2017-14378,允许攻击者绕过身份验证访问受保护资源。
第一个漏洞:cve-2017-14377
漏洞细节:
用于apache web服务器的rsa身份验证代理如果设置为tcp模式,将允许攻击者通过特制的数据包触发验证错误逻辑,从而绕过身份验证获取到被保护资源的访问权限。rsa身份验证代理在默认的udp模式下,不受此漏洞影响。
影响的产品及版本:
rsa® authentication agent for web: apache web server version 8.0
rsa® authentication agent for web: apache web server version 8.0.1 prior to build 618
修复建议:
rsa已经发布了官方补丁(见以下链接),并建议所有用户尽快升级到安全版本。
https://community.rsa.com/community/products/securid/authentication-agent-web-apache
第二个漏洞:cve-2017-14378
漏洞细节:
用于c版本8.5和8.6的rsa身份验证代理api / sdk在tcp模式时,由于对error处理不当,导致返回代码未能被应用恰当处理,从而导致身份验证被绕过。
影响的产品及版本:
rsa® authentication agent api 8.5 for c
rsa® authentication agent sdk 8.6 for c
修复建议:
rsa建议所有用户尽快升级到以下链接中的最新版本,同时请确保对api/sdk的实现符合“rsa authentication agent api for c开发人员指南”中记录的编码准则。
稿源:黑客视界,封面源自网络 【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信