ProHoster > Blog > naidheachdan eadar-lìn > So-leòntachd a leigeas le smachd a chumail air suidsichean Cisco, Zyxel agus NETGEAR air sgoltagan RTL83xx

So-leòntachd a leigeas le smachd a chumail air suidsichean Cisco, Zyxel agus NETGEAR air sgoltagan RTL83xx

Ann an suidsichean stèidhichte air sgoltagan RTL83xx, a’ toirt a-steach Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M agus còrr air dusan inneal bho luchd-saothrachaidh nach eil cho aithnichte, aithneachadh so-leòntachd èiginneach a leigeas le neach-ionnsaigh gun dearbhadh smachd fhaighinn air an tionndadh. Tha na duilgheadasan air adhbhrachadh le mearachdan anns an Realtek Managed Switch Controller SDK, a chaidh an còd a chleachdadh gus am firmware ullachadh.

A 'chiad so-leòntachd (CVE-2019-1913) a’ toirt buaidh air an eadar-aghaidh smachd lìn agus ga dhèanamh comasach do chòd a chuir an gnìomh le sochairean cleachdaiche freumh. Tha an so-leòntachd mar thoradh air dearbhadh gu leòr de pharamadairean a chaidh a sholarachadh leis an neach-cleachdaidh agus fàilligeadh air crìochan bufair a mheasadh gu ceart nuair a bhios iad a’ leughadh dàta cuir a-steach. Mar thoradh air an sin, faodaidh neach-ionnsaigh tar-shruth bufair adhbhrachadh le bhith a’ cur iarrtas sònraichte a-steach agus brath a ghabhail air an duilgheadas gus an còd aca a chuir an gnìomh.

An dàrna so-leòntachd (CVE-2019-1912) a’ ceadachadh faidhlichean neo-riaghailteach a luchdachadh air an tionndadh gun dearbhadh, a’ toirt a-steach a bhith a’ sgrìobhadh thairis air faidhlichean rèiteachaidh agus a’ cur air bhog slige cùil airson logadh a-steach aig astar. Tha an duilgheadas air adhbhrachadh le sgrùdadh neo-choileanta de cheadan san eadar-aghaidh lìn.

Faodaidh tu cuideachd mothachadh a thoirt air cuir às do cho cunnartach so-leòntachd (CVE-2019-1914), a leigeas le òrdughan neo-riaghailteach a bhith air an cur an gnìomh le sochairean bunaiteach ma tha logadh a-steach dearbhte gun bhuannachd don eadar-aghaidh lìn. Tha cùisean air am fuasgladh ann an Cisco Small Business 220 (1.1.4.4), Zyxel, agus ùrachaidhean firmware NETGEAR. Tha tuairisgeul mionaideach air dòighean obrachaidh air a phlanadh foillsich An Lùnastal 20.

Bidh duilgheadasan cuideachd a’ nochdadh ann an innealan eile stèidhichte air chips RTL83xx, ach cha deach an dearbhadh fhathast leis an luchd-saothrachaidh agus cha deach an suidheachadh:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • Abaniact (INABA) AML2-PS16-17GP L2;
  • Araknis Networks (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • Fosgailte Mesh OMS24;
  • Inneal Pakedged SX-8P;
  • TG-NET P3026M-24POE.

Source: fosgailtenet.ru

Cuir beachd ann