Cisco Small Business 83, Zyxel GS220-1900, NETGEAR GS24x, ALLNET ALL-SG75M ಮತ್ತು ಕಡಿಮೆ-ತಿಳಿದಿರುವ ತಯಾರಕರಿಂದ ಒಂದು ಡಜನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಸಾಧನಗಳನ್ನು ಒಳಗೊಂಡಂತೆ RTL8208xx ಚಿಪ್ಗಳನ್ನು ಆಧರಿಸಿದ ಸ್ವಿಚ್ಗಳಲ್ಲಿ, ದೃಢೀಕರಿಸದ ಆಕ್ರಮಣಕಾರರು ಸ್ವಿಚ್ನ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುವ ನಿರ್ಣಾಯಕ ದೋಷಗಳು. Realtek ನಿರ್ವಹಿಸಿದ ಸ್ವಿಚ್ ನಿಯಂತ್ರಕ SDK ಯಲ್ಲಿನ ದೋಷಗಳಿಂದ ಸಮಸ್ಯೆಗಳು ಉಂಟಾಗುತ್ತವೆ, ಫರ್ಮ್ವೇರ್ ಅನ್ನು ತಯಾರಿಸಲು ಬಳಸಲಾದ ಕೋಡ್.
(CVE-2019-1913) ವೆಬ್ ನಿಯಂತ್ರಣ ಇಂಟರ್ಫೇಸ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ರೂಟ್ ಬಳಕೆದಾರ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಬಳಕೆದಾರ-ಸರಬರಾಜು ಮಾಡಿದ ಪ್ಯಾರಾಮೀಟರ್ಗಳ ಸಾಕಷ್ಟು ಮೌಲ್ಯೀಕರಣ ಮತ್ತು ಇನ್ಪುಟ್ ಡೇಟಾವನ್ನು ಓದುವಾಗ ಬಫರ್ ಗಡಿಗಳನ್ನು ಸರಿಯಾಗಿ ಮೌಲ್ಯಮಾಪನ ಮಾಡುವಲ್ಲಿ ವಿಫಲತೆಯಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಬಫರ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗಬಹುದು ಮತ್ತು ಅವರ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಮಸ್ಯೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು.
(CVE-2019-1912) ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗಳನ್ನು ಓವರ್ರೈಟ್ ಮಾಡುವುದು ಮತ್ತು ರಿಮೋಟ್ ಲಾಗಿನ್ಗಾಗಿ ರಿವರ್ಸ್ ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುವುದು ಸೇರಿದಂತೆ ದೃಢೀಕರಣವಿಲ್ಲದೆ ಸ್ವಿಚ್ನಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿನ ಅನುಮತಿಗಳ ಅಪೂರ್ಣ ಪರಿಶೀಲನೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
ಕಡಿಮೆ ಅಪಾಯಕಾರಿಗಳ ನಿರ್ಮೂಲನೆಯನ್ನು ಸಹ ನೀವು ಗಮನಿಸಬಹುದು (CVE-2019-1914), ವೆಬ್ ಇಂಟರ್ಫೇಸ್ಗೆ ಸವಲತ್ತು ಇಲ್ಲದ ದೃಢೀಕೃತ ಲಾಗಿನ್ ಇದ್ದಲ್ಲಿ ರೂಟ್ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. Cisco Small Business 220 (1.1.4.4), Zyxel ಮತ್ತು NETGEAR ಫರ್ಮ್ವೇರ್ ನವೀಕರಣಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ. ಕಾರ್ಯಾಚರಣೆಯ ವಿಧಾನಗಳ ವಿವರವಾದ ವಿವರಣೆಯನ್ನು ಯೋಜಿಸಲಾಗಿದೆ ಆಗಸ್ಟ್ 20.
RTL83xx ಚಿಪ್ಗಳ ಆಧಾರದ ಮೇಲೆ ಇತರ ಸಾಧನಗಳಲ್ಲಿ ಸಮಸ್ಯೆಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ, ಆದರೆ ಅವುಗಳನ್ನು ತಯಾರಕರು ಇನ್ನೂ ದೃಢೀಕರಿಸಿಲ್ಲ ಮತ್ತು ಸರಿಪಡಿಸಲಾಗಿಲ್ಲ:
- EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- ಅಬಾನಿಯಾಕ್ಟ್ (INABA) AML2-PS16-17GP L2;
- ಅರಾಕ್ನಿಸ್ ನೆಟ್ವರ್ಕ್ಸ್ (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC, GS-5424PLC;
- ಮೆಶ್ OMS24 ತೆರೆಯಿರಿ;
- ಪ್ಯಾಕೇಜ್ ಡಿವೈಸ್ SX-8P;
- TG-NET P3026M-24POE.
ಮೂಲ: opennet.ru