Cisco Small Business 83, Zyxel GS220-1900, NETGEAR GS24x, ALLNET ALL-SG75M гэх мэт RTL8208xx чип дээр суурилсан унтраалга болон төдийлөн танигдаагүй үйлдвэрлэгчдийн арав гаруй төхөөрөмжид, Баталгаажаагүй халдагчид шилжүүлэгчийг хянах боломжийг олгодог чухал эмзэг байдал. Асуудал нь програм хангамжийг бэлтгэхэд ашигласан кодыг ашигласан Realtek Managed Switch Controller SDK-ийн алдаанаас үүдэлтэй.
(CVE-2019-1913) нь вэб хяналтын интерфэйсэд нөлөөлж, өөрийн кодыг root хэрэглэгчийн эрхээр гүйцэтгэх боломжтой болгодог. Энэ эмзэг байдал нь хэрэглэгчийн өгсөн параметрүүдийн баталгаажуулалт хангалтгүй, оролтын өгөгдлийг унших үед буферийн хил хязгаарыг зөв үнэлээгүйгээс үүдэлтэй. Үүний үр дүнд халдагчид тусгайлан боловсруулсан хүсэлтийг илгээснээр буферийн хэт ачаалал үүсгэж, кодыг нь ажиллуулахын тулд асуудлыг ашиглаж болно.
(CVE-2019-1912) нь тохиргооны файлуудыг дарж бичих, алсаас нэвтрэн орохын тулд урвуу бүрхүүлийг эхлүүлэх зэрэг дурын файлуудыг шилжүүлэгч дээр баталгаажуулалтгүйгээр ачаалах боломжийг олгодог. Асуудал нь вэб интерфэйс дэх зөвшөөрлийг бүрэн шалгаагүйгээс үүдэлтэй.
Та мөн бага аюултайг арилгахыг тэмдэглэж болно (CVE-2019-1914) нь вэб интерфэйс рүү нэвтрэх эрхгүй нэвтрэлт байгаа тохиолдолд дурын тушаалуудыг root эрхээр гүйцэтгэх боломжийг олгодог. Асуудлыг Cisco Small Business 220 (1.1.4.4), Zyxel болон NETGEAR программын шинэчлэлтүүдээр шийдвэрлэсэн. Үйл ажиллагааны аргуудын нарийвчилсан тайлбарыг төлөвлөж байна Наймдугаар сарын 20
RTL83xx чип дээр суурилсан бусад төхөөрөмжүүдэд асуудал гарч ирдэг боловч үйлдвэрлэгчид хараахан батлагдаагүй бөгөөд засаагүй байна.
- EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- Abaniact (INABA) AML2-PS16-17GP L2;
- Araknis Networks (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC, GS-5424PLC;
- Нээлттэй торон OMS24;
- Pakedgedevice SX-8P;
- TG-NET P3026M-24POE.
Эх сурвалж: opennet.ru