புரோஹோஸ்டர் > Блог > இணைய செய்தி > RTL83xx சில்லுகளில் Cisco, Zyxel மற்றும் NETGEAR சுவிட்சுகளின் கட்டுப்பாட்டை அனுமதிக்கும் பாதிப்புகள்

RTL83xx சில்லுகளில் Cisco, Zyxel மற்றும் NETGEAR சுவிட்சுகளின் கட்டுப்பாட்டை அனுமதிக்கும் பாதிப்புகள்

Cisco Small Business 83, Zyxel GS220-1900, NETGEAR GS24x, ALLNET ALL-SG75M மற்றும் குறைவாக அறியப்பட்ட உற்பத்தியாளர்களிடமிருந்து ஒரு டஜன் சாதனங்கள் உட்பட RTL8208xx சில்லுகளின் அடிப்படையிலான சுவிட்சுகளில், அடையாளம் காணப்பட்டது ஒரு அங்கீகரிக்கப்படாத தாக்குபவர் சுவிட்சின் கட்டுப்பாட்டைப் பெற அனுமதிக்கும் முக்கியமான பாதிப்புகள். Realtek நிர்வகிக்கப்பட்ட ஸ்விட்ச் கன்ட்ரோலர் SDK இல் உள்ள பிழைகளால் சிக்கல்கள் ஏற்படுகின்றன, இந்த குறியீடு ஃபார்ம்வேரைத் தயாரிக்கப் பயன்படுத்தப்பட்டது.

முதல் பாதிப்பு (CVE-2019-1913) இணைய கட்டுப்பாட்டு இடைமுகத்தை பாதிக்கிறது மற்றும் ரூட் பயனர் சலுகைகளுடன் உங்கள் குறியீட்டை இயக்குவதை சாத்தியமாக்குகிறது. பயனர் வழங்கிய அளவுருக்களின் போதுமான சரிபார்ப்பு மற்றும் உள்ளீட்டுத் தரவைப் படிக்கும்போது இடையக எல்லைகளை சரியாக மதிப்பிடத் தவறியதால் பாதிப்பு ஏற்படுகிறது. இதன் விளைவாக, தாக்குபவர் சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கையை அனுப்புவதன் மூலம் இடையக வழிதல் ஏற்படலாம் மற்றும் அவர்களின் குறியீட்டை இயக்க சிக்கலைப் பயன்படுத்திக் கொள்ளலாம்.

இரண்டாவது பாதிப்பு (CVE-2019-1912) தன்னிச்சையான கோப்புகளை அங்கீகாரம் இல்லாமல் சுவிட்சில் ஏற்ற அனுமதிக்கிறது, இதில் உள்ளமைவு கோப்புகளை மேலெழுதுதல் மற்றும் ரிமோட் உள்நுழைவுக்கான தலைகீழ் ஷெல் தொடங்குதல் ஆகியவை அடங்கும். இணைய இடைமுகத்தில் உள்ள அனுமதிகளின் முழுமையற்ற சோதனையால் சிக்கல் ஏற்படுகிறது.

குறைவான ஆபத்தானவற்றை நீக்குவதையும் நீங்கள் கவனிக்கலாம் பாதிப்புகள் (CVE-2019-1914), இது இணைய இடைமுகத்தில் உரிமையற்ற அங்கீகரிக்கப்பட்ட உள்நுழைவு இருந்தால், ரூட் சலுகைகளுடன் தன்னிச்சையான கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது. Cisco Small Business 220 (1.1.4.4), Zyxel மற்றும் NETGEAR ஃபார்ம்வேர் புதுப்பிப்புகளில் சிக்கல்கள் தீர்க்கப்படுகின்றன. இயக்க முறைகள் பற்றிய விரிவான விளக்கம் திட்டமிடப்பட்டுள்ளது வெளியிட ஆகஸ்ட் ஆகஸ்ட்.

RTL83xx சில்லுகளை அடிப்படையாகக் கொண்ட பிற சாதனங்களிலும் சிக்கல்கள் தோன்றும், ஆனால் அவை உற்பத்தியாளர்களால் இன்னும் உறுதிப்படுத்தப்படவில்லை மற்றும் சரி செய்யப்படவில்லை:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • அபானியாக்ட் (INABA) AML2-PS16-17GP L2;
  • அராக்னிஸ் நெட்வொர்க்குகள் (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • மெஷ் OMS24ஐத் திற;
  • பேக்கேஜ்டிவைஸ் SX-8P;
  • TG-NET P3026M-24POE.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்