ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang mga kahuyangan nga nagtugot sa pagkontrol sa Cisco, Zyxel ug NETGEAR switch sa RTL83xx chips nga kuhaon

Ang mga kahuyangan nga nagtugot sa pagkontrol sa Cisco, Zyxel ug NETGEAR switch sa RTL83xx chips nga kuhaon

Sa mga switch base sa RTL83xx chips, lakip ang Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M ug labaw pa sa usa ka dosena nga mga himan gikan sa dili kaayo nailhan nga mga tiggama, giila kritikal nga mga kahuyangan nga nagtugot sa usa ka dili kasaligan nga tig-atake nga makontrol ang switch. Ang mga problema tungod sa mga kasaypanan sa Realtek Managed Switch Controller SDK, ang code diin gigamit sa pag-andam sa firmware.

Unang kahuyang (CVE-2019-1913) makaapekto sa web control interface ug nagpaposible nga ipatuman ang imong code nga adunay mga pribilehiyo sa root user. Ang pagkahuyang tungod sa dili igo nga pag-validate sa mga parameter nga gihatag sa gumagamit ug pagkapakyas sa husto nga pagtimbang-timbang sa mga utlanan sa buffer kung nagbasa sa data sa input. Ingon usa ka sangputanan, ang usa ka tig-atake mahimong hinungdan sa usa ka buffer overflow pinaagi sa pagpadala sa usa ka espesyal nga gihimo nga hangyo ug pahimuslan ang problema aron ipatuman ang ilang code.

Ikaduha nga kahuyang (CVE-2019-1912) nagtugot sa arbitraryong mga file nga i-load sa switch nga walay authentication, lakip na ang overwriting configuration files ug paglansad og reverse shell para sa remote login. Ang problema tungod sa dili kompleto nga pagsusi sa mga permiso sa web interface.

Mamatikdan usab nimo ang pagwagtang sa dili kaayo peligroso mga kahuyang (CVE-2019-1914), nga nagtugot sa arbitraryong mga sugo nga ipatuman nga adunay mga pribilehiyo sa gamut kung adunay usa ka dili pribilihiyo nga gipamatud-an nga pag-login sa web interface. Nasulbad ang mga isyu sa Cisco Small Business 220 (1.1.4.4), Zyxel, ug NETGEAR firmware updates. Ang usa ka detalyado nga paghulagway sa mga pamaagi sa pag-opera giplano imantala Agosto 20.

Ang mga problema makita usab sa ubang mga aparato nga gibase sa RTL83xx chips, apan wala pa kini gikumpirma sa mga tiggama ug wala pa naayo:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • Abaniact (INABA) AML2-PS16-17GP L2;
  • Araknis Networks (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • Open Mesh OMS24;
  • Pakedgedevice SX-8P;
  • TG-NET P3026M-24POE.

Source: opennet.ru

Idugang sa usa ka comment