CH azonosító
CH-14396Angol cím
RSA Authentication Agent for Web Multiple FlawsFelfedezés dátuma
2018.03.25.Súlyosság
MagasÉrintett rendszerek
Authentication Agent for Web for Apache Web ServerAuthentication Agent for Web for IIS
RSA
Érintett verziók
RSA Authentication Agent for Web 8.0.2
Összefoglaló
Az RSA Authentication Agent for Web (Apache és IIS verziók) több sérülékenységét jelentették, amiket kihasználva a felhasználók szolgáltatás megtagadást (DoS) tudnak előidézni, bizalmas információkat szerezhetnek, illetve a távoli támadók XSS támadást hajthatnak végre.
Leírás
- Egy távoli felhasználó egy speciálisan megszerkesztett sütivel verem túlcsordulást idézhet elő, ami pedig a szolgáltatás összeomlásához vezet.
- A szoftver nem megfelelően szűri meg a felhasználó által küldött adatokat, amit kihasználva XSS támadást lehet végrehajtani
- Egy helyi felhasználó ki tudja használni a Windows Named Pipe egy hibáját, amivel bizalmas információkat szerezhet.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Egyéb referencia: securitytracker.com
CVE-2018-1232 - NVD CVE-2018-1232
CVE-2018-1233 - NVD CVE-2018-1233
CVE-2018-1234 - NVD CVE-2018-1234