Risque
Contournement de la politique de sécurité.
Systèmes affectés
RSA Authentication Client, versions 2.x, 3.x, 3.5.x. utilisé avec un appareil RSA SecurID 800.
Résumé
Une vulnérabilité dans RSA Authentication Client est exploitable par un utilisateur malveillant pour contourner la politique de sécurité.
Description
Un gestion défaillante des marqueurs SENSITIVE et NON-EXTRACTABLE permet à un utilisateur malveillant de récupérer les clefs secrètes par le biais de l'API PKCS#11.
Solution
La version RSA Client Authentication 3.5.3 corrige cette erreur.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de l'éditeur RSA :
http://www.rsa.com/
- Bulletin du NIST CVE-2010-3321 du 06 octobre 2010 :
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2010-3321
- Référence CVE CVE-2010-3321 :
https://www.cve.org/CVERecord?id=CVE-2010-3321