Bezpečnostné varovanie V20171129-02K
Dôležitosť | Kritická |
Klasifikácia | TLP WHITE |
CVSS Skóre |
10 |
Identifikátor |
Kritické zraniteľnosti v RSA Authentication Agent |
Popis |
V dôsledku chyby pri overovaní vstupov v RSA Authentication Agent for Web pre Apache Web Server môže útočník obísť autentifikáciu používateľa a získať neoprávnený prístup k prostriedkom chráneným RSA agentom. Úroveň oprávnení získaných útočníkom závisí od pravidiel autorizácie nastavených základnou aplikáciou, ktorá používa RSA agenta. Táto chyba je prítomná iba vtedy, keď je RSA Authentication Agent for Web pre Apache Web Server nakonfigurovaný na používanie protokolu TCP na komunikáciu so serverom RSA Authentication Manager. Pri nastavení na použitie UDP, ktoré je predvolenou konfiguráciou, nie je aplikácia zraniteľná. RSA Authentication Agent API / SDK 8.5 / 8.6 pre C obsahuje zraniteľnosť pri spracovaní chýb, ktorá by mohla v určitých prípadoch umožniť útočníkovi obídenie procesu autentifikácie. Táto zraniteľnosť sa vyskytne vtedy, keď sa API / SDK používa v asynchrónnom režime TCP a návratové hodnoty prostredníctvom API / SDK nie sú aplikáciou správne spracúvané. |
Dátum prvého zverejnenia varovania |
27. 11. 2017 |
CVE |
CVE-2017-14377, CVE-2017-14378 |
Zasiahnuté systémy |
RSA Authentication Agent for Web: Apache Web Server version 8.0, RSA Authentication Agent for Web: Apache Web Server version 8.0.1 staršie ako Build 618, RSA Authentication Agent API 8.5 for C, RSA Authentication Agent SDK 8.6 for C |
Následky |
Neoprávnené získanie kontroly nad zariadením |
Odporúčania |
Ak používate vo svojej sieti autentifikáciu produktami spoločnosti RSA, obráťte sa na svojho dodávateľa s otázkou, či je zariadenie alebo produkt zraniteľné na ESA-2017-145 / CVE-2017-14377 a tiež ESA-2017-146 / CVE-2017-14378. Pokým neobdržíte odpoveď, odporúčame znemožniť prístup na zariadenie alebo produkt z Internetu, bez ohľadu na to, či samotný autentifikačný server z internetu prístupný je alebo nie je, alebo vypnúť overovanie pomocou produktov spol. RSA. |
Zdroje |
https://packetstormsecurity.com/files/145127/ESA-2017-145.txt https://packetstormsecurity.com/files/145128/ESA-2017-146.txt |
« Späť na zoznam