Cisco Small Business 83, Zyxel GS220-1900, NETGEAR GS24x, ALLNET ALL-SG75M və daha az tanınmış istehsalçıların ondan çox cihazı daxil olmaqla RTL8208xx çiplərinə əsaslanan açarlarda, autentifikasiya edilməmiş təcavüzkarın keçid üzərində nəzarəti ələ keçirməsinə imkan verən kritik zəifliklər. Problemlər Realtek Managed Switch Controller SDK-dakı səhvlərdən qaynaqlanır, kodun proqram təminatının hazırlanması üçün istifadə edilmişdir.
(CVE-2019-1913) veb idarəetmə interfeysinə təsir edir və kodunuzu kök istifadəçi imtiyazları ilə icra etməyə imkan verir. Zəiflik istifadəçi tərəfindən təmin edilmiş parametrlərin kifayət qədər yoxlanılması və giriş məlumatlarını oxuyarkən bufer sərhədlərinin düzgün qiymətləndirilməməsi ilə bağlıdır. Nəticədə, təcavüzkar xüsusi hazırlanmış sorğu göndərməklə bufer daşmasına səbəb ola bilər və kodunu icra etmək üçün problemdən istifadə edə bilər.
(CVE-2019-1912) konfiqurasiya fayllarının üzərinə yazmaq və uzaqdan giriş üçün əks qabığı işə salmaq da daxil olmaqla, ixtiyari faylların autentifikasiya olmadan keçidə yüklənməsinə imkan verir. Problem veb interfeysində icazələrin natamam yoxlanılması ilə əlaqədardır.
Daha az təhlükəli olanların aradan qaldırılmasını da qeyd edə bilərsiniz (CVE-2019-1914), veb interfeysinə imtiyazsız autentifikasiya edilmiş giriş olduqda ixtiyari əmrlərin kök imtiyazları ilə icrasına imkan verir. Problemlər Cisco Small Business 220 (1.1.4.4), Zyxel və NETGEAR proqram təminatı yeniləmələrində həll edilir. Əməliyyat üsullarının ətraflı təsviri planlaşdırılır 20 avqust.
Problemlər RTL83xx çiplərinə əsaslanan digər cihazlarda da görünür, lakin onlar hələ istehsalçılar tərəfindən təsdiqlənməyib və düzəldilməyib:
- EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- Abaniact (INABA) AML2-PS16-17GP L2;
- Araknis Networks (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC, GS-5424PLC;
- Açıq Mesh OMS24;
- Pakedgedevice SX-8P;
- TG-NET P3026M-24POE.
Mənbə: opennet.ru