Une vulnérabilité critique identifiée sur les versions 8.5/8.6 de l’API/SDK de l’agent d’authentification RSA

Une vulnérabilité critique, référencée par la CVE CVE-2017-14378, a été identifiée sur les versions 8.5/8.6 du SDK de l'agent d'authentification RSA. L'ensemble des systèmes développés avec ce kit SDK sont donc impactés par la vulnérabilité.

Les versions vulnérables comportent une faille au niveau de la gestion des codes d'erreurs sur les implémentations utilisant le protocole TCP en mode asynchrone. La vulnérabilité pourrait donc être exploitée par un attaquant afin de contourner l’authentification sur certaines implémentations.

Les implémentations gérant les codes de retour de manière appropriée conformément aux instructions documentées dans le guide des APIs RSA Authentication Agent ne sont pas vulnérables.

Informations
+

Impact

  • Contournement de l’authentification

Criticité

  • CVSS v3 : 10.0

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • RSA Authentication Agent API 8.5 for C

  • RSA Authentication Agent SDK 8.6 for C

CVE

  • CVE-2017-14378

Recommandations
+

Correctifs

Le correctif de la version C du SDK est disponible sur le lien suivant : https://community.rsa.com/docs/DOC-40601#agents

Les versions suivantes ne sont pas vulnérables :

  • RSA Authentication Agent API / SDK pour Java ;

  • API de l'agent d'authentification RSA pour les versions C antérieures à la version 8.5 ;

  • RSA Authentication Manager SDK et RSA SecurID® Mobile SDK.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.