沒錯，如果你的代碼中實現(xiàn)了RSA的認證SDK，那你的項目很可能已經(jīng)成功“繼承”了這兩個安全漏洞！

近期，研究人員在RSA的實現(xiàn)代碼中發(fā)現(xiàn)了兩個嚴重的身份認證漏洞，看來RSA的開發(fā)人員以及廣大應用管理員們又得有兩個高危漏洞需要去修復啦！

輸入驗證漏洞-CVE-2017-14377

根據(jù)安全研究人員透露的信息，這個安全漏洞（CVE-2017-14377）存在于RSA的軟件之中，而這個軟件專用于為Apache提供基于Web的身份認證功能。由于RSA的ApacheWeb服務器認證代理中存在一個“輸入驗證問題”，因此才導致了這個認證繞過漏洞存在。

如果認證代理使用的是UDP的話，那就沒有問題了。但是如果它使用的是TCP，那么未經(jīng)身份認證的遠程攻擊者就可以向其發(fā)送一個經(jīng)過專門設計的惡意數(shù)據(jù)包，然后觸發(fā)一次驗證錯誤，便能夠訪問到目標服務器中的資源。

目前，RSA已經(jīng)發(fā)布了相關的漏洞補丁，有需要的用戶可以點擊【這里】進行下載。

錯誤處理漏洞-CVE-2017-14378

另一個嚴重的安全漏洞存在于RSA的身份認證代理SDK（C語言版）中，這也就意味著任何部署了這個SDK的系統(tǒng)都將會受到這個漏洞的影響。

研究人員表示，8.5版本和8.7版本的SDK（RSA）中存在一個錯誤處理漏洞（CVE-2017-14378）。這個漏洞將影響TCP異步模式實現(xiàn)，如果攻擊者能夠觸發(fā)這個錯誤處理漏洞，他們將能夠繞過目標系統(tǒng)中的身份認證限制。

需要注意的是，這個漏洞并不會影響RSA的Java版本SDK。已修復版本的SDK可點擊【這里】獲取。