Risque

Contournement de la politique de sécurité.

Systèmes affectés

RSA Authentication Client, versions 2.x, 3.x, 3.5.x. utilisé avec un appareil RSA SecurID 800.

Résumé

Une vulnérabilité dans RSA Authentication Client est exploitable par un utilisateur malveillant pour contourner la politique de sécurité.

Description

Un gestion défaillante des marqueurs SENSITIVE et NON-EXTRACTABLE permet à un utilisateur malveillant de récupérer les clefs secrètes par le biais de l'API PKCS#11.

Solution

La version RSA Client Authentication 3.5.3 corrige cette erreur.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation