Bezpečnostné varovanie V20171129-02K

Dôležitosť Kritická
Klasifikácia TLP WHITE
CVSS Skóre
10

 

Identifikátor
Kritické zraniteľnosti v RSA Authentication Agent

 

Popis
V dôsledku chyby pri overovaní vstupov v RSA Authentication Agent for Web pre Apache Web Server
môže útočník obísť autentifikáciu používateľa a získať neoprávnený prístup k prostriedkom
chráneným RSA agentom. Úroveň oprávnení získaných útočníkom závisí od pravidiel autorizácie
nastavených základnou aplikáciou, ktorá používa RSA agenta.
Táto chyba je prítomná iba vtedy, keď je RSA Authentication Agent for Web pre Apache Web Server
nakonfigurovaný na používanie protokolu TCP na komunikáciu so serverom RSA Authentication
Manager. Pri nastavení na použitie UDP, ktoré je predvolenou konfiguráciou, nie je aplikácia
zraniteľná.
RSA Authentication Agent API / SDK 8.5 / 8.6 pre C obsahuje zraniteľnosť pri spracovaní chýb, ktorá
by mohla v určitých prípadoch umožniť útočníkovi obídenie procesu autentifikácie. Táto
zraniteľnosť sa vyskytne vtedy, keď sa API / SDK používa v asynchrónnom režime TCP a návratové
hodnoty prostredníctvom API / SDK nie sú aplikáciou správne spracúvané.

 

Dátum prvého zverejnenia varovania
27. 11. 2017

 

CVE
CVE-2017-14377, CVE-2017-14378

 

Zasiahnuté systémy
RSA Authentication Agent for Web: Apache Web Server version 8.0, RSA Authentication Agent for
Web: Apache Web Server version 8.0.1 staršie ako Build 618, RSA Authentication Agent API 8.5 for
C, RSA Authentication Agent SDK 8.6 for C

 

Následky
Neoprávnené získanie kontroly nad zariadením

 

Odporúčania
Ak používate vo svojej sieti autentifikáciu produktami spoločnosti RSA, obráťte sa na svojho
dodávateľa s otázkou, či je zariadenie alebo produkt zraniteľné na ESA-2017-145 / CVE-2017-14377
a tiež ESA-2017-146 / CVE-2017-14378. Pokým neobdržíte odpoveď, odporúčame znemožniť prístup
na zariadenie alebo produkt z Internetu, bez ohľadu na to, či samotný autentifikačný server z
internetu prístupný je alebo nie je, alebo vypnúť overovanie pomocou produktov spol. RSA.

 

Zdroje
https://packetstormsecurity.com/files/145127/ESA-2017-145.txt
https://packetstormsecurity.com/files/145128/ESA-2017-146.txt

« Späť na zoznam