کمیته رکن چهارم – رمزنگاری آر.اِس.اِی در بستهی توسعه نرمافزاری احراز هویت، دارای دو آسیبپذیری خطرناک است.
در بسته توسعه نرمافزاری (SDK) رمزنگاری آر.اِس.اِی (RSA) دو آسیبپذیری خطرناک عبور از احراز هویت وجود دارد.
اولین آسیبپذیری با کد CVE-2017-14377 شناخته میشود که از نوع دور زدن احراز هویت است. این حفره امنیتی در عامل (Agent) احراز هویت آر.اِس.اِی وجود داشته و سرورهای آپاچی را تحت تأثیر خود قرار داده است. مهاجم با استفاده از این آسیبپذیری میتواند از راه دور و بدون احراز هویت و تنها با ارسال ترافیک مخرب خود به سامانه قربانی دسترسی داشته باشد.
این آسیبپذیری به دلیل عدم اعتبارسنجی دادههای ورودی، وجود دارد و پیادهسازی تی.سی.پی (TCP) آر.اِس.اِی را تحت تأثیر قرار داده است و پروتکل یو.دی.پی (UDP) آن امن است.
آسیبپذیری دوم با کد CVE-2017-14378 شناخته میشود و دربستهی توسعه نرمافزاری برای زبان سی، وجود دارد؛ بدین ترتیب هر سامانهای که از این اس.دی.کِی استفاده کرده است، این آسیبپذیری را به ارث (inherit) برده است. البته این آسیبپذیری در پیادهسازی بسته توسعه نرمافزاری به زبان جاوا وجود ندارد.
در اس.دی.کِی به شمارههای ۸٫۵ و ۸٫۶، حفره امنیتی در بخش مدیریت خطا (Error Handling) وجود دارد که همین عامل دور زدن احراز هویت است. هر دو آسیبپذیری اس.دی.کِی هماکنون وصله شدهاند.
منبع : سایبربان
