У продуктах американської ІБ-компанії RSA виявлено дві небезпечні вразливості.
RSA вже випустив оновлення, що виправляють проблеми з безпекою.
У продуктах американської ІБ-компанії RSA виявлено дві небезпечні вразливості. Перша з них (CVE-2017-14377) стосується продукту RSA Authentication Agent for Web for Apache Web Server. Вразливість пов'язана з помилкою автентифікації вхідних даних і дозволяє обійти механізм аутентифікації. Проблема виникає лише у випадку, якщо агент автентифікації використовує TCP, а чи не UDP. Для експлуатації вразливості віддалений неавторизований атакуючий повинен надіслати особливим чином конфігурований пакет, що викликає помилку автентифікації.
Друга вразливість (CVE-2017-14378) була виявлена у версіях 8.5 та 8.7 продукту RSA Authentication Agent SDK for C. Проблема зачіпає реалізацію асинхронного режиму передачі даних TCP і пов'язана з некоректною обробкою додатком кодів, повернутих API/SDK. За допомогою вразливості зловмисник може оминути обмеження автентифікації на системі. Проблема не торкається Java-версії SDK.
Обидві вразливості вже виправлені. Завантажте оновлення RSA Authentication Agent for Web for Apache Web Server та Authentication Agent SDK for C