Cisco Small Business 83, Zyxel GS220-1900, NETGEAR GS24x, ALLNET ALL-SG75M మరియు అంతగా తెలియని తయారీదారుల నుండి డజనుకు పైగా పరికరాలతో సహా RTL8208xx చిప్లపై ఆధారపడిన స్విచ్లలో, ప్రామాణీకరించబడని దాడి చేసే వ్యక్తి స్విచ్పై నియంత్రణ సాధించడానికి అనుమతించే క్లిష్టమైన దుర్బలత్వాలు. Realtek నిర్వహించబడే స్విచ్ కంట్రోలర్ SDKలోని లోపాల వల్ల సమస్యలు ఏర్పడతాయి, ఫర్మ్వేర్ను సిద్ధం చేయడానికి ఉపయోగించిన కోడ్.
(CVE-2019-1913) వెబ్ నియంత్రణ ఇంటర్ఫేస్ను ప్రభావితం చేస్తుంది మరియు రూట్ వినియోగదారు అధికారాలతో మీ కోడ్ని అమలు చేయడం సాధ్యం చేస్తుంది. వినియోగదారు అందించిన పారామితుల యొక్క తగినంత ధృవీకరణ మరియు ఇన్పుట్ డేటాను చదివేటప్పుడు బఫర్ సరిహద్దులను సరిగ్గా మూల్యాంకనం చేయడంలో వైఫల్యం కారణంగా ఈ దుర్బలత్వం ఏర్పడింది. ఫలితంగా, దాడి చేసే వ్యక్తి ప్రత్యేకంగా రూపొందించిన అభ్యర్థనను పంపడం ద్వారా బఫర్ ఓవర్ఫ్లోను కలిగించవచ్చు మరియు వారి కోడ్ని అమలు చేయడానికి సమస్యను ఉపయోగించుకోవచ్చు.
(CVE-2019-1912) కాన్ఫిగరేషన్ ఫైల్లను ఓవర్రైట్ చేయడం మరియు రిమోట్ లాగిన్ కోసం రివర్స్ షెల్ను ప్రారంభించడం వంటి వాటితో సహా ప్రమాణీకరణ లేకుండా స్విచ్లో ఏకపక్ష ఫైల్లను లోడ్ చేయడానికి అనుమతిస్తుంది. వెబ్ ఇంటర్ఫేస్లో అనుమతుల యొక్క అసంపూర్ణ తనిఖీ కారణంగా సమస్య ఏర్పడింది.
మీరు తక్కువ ప్రమాదకరమైన తొలగింపును కూడా గమనించవచ్చు (CVE-2019-1914), ఇది వెబ్ ఇంటర్ఫేస్కు ప్రత్యేకించబడని ప్రామాణీకరించబడిన లాగిన్ ఉన్నట్లయితే, రూట్ అధికారాలతో ఏకపక్ష ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది. Cisco Small Business 220 (1.1.4.4), Zyxel మరియు NETGEAR ఫర్మ్వేర్ అప్డేట్లలో సమస్యలు పరిష్కరించబడతాయి. ఆపరేటింగ్ పద్ధతుల యొక్క వివరణాత్మక వివరణ ప్రణాళిక చేయబడింది ఆగస్టు 20.
RTL83xx చిప్ల ఆధారంగా ఇతర పరికరాలలో కూడా సమస్యలు కనిపిస్తాయి, అయితే అవి తయారీదారులచే ఇంకా నిర్ధారించబడలేదు మరియు పరిష్కరించబడలేదు:
- EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- అబానియాక్ట్ (INABA) AML2-PS16-17GP L2;
- అరాక్నిస్ నెట్వర్క్స్ (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC, GS-5424PLC;
- మెష్ OMS24ని తెరవండి;
- ప్యాకేజీ డివైస్ SX-8P;
- TG-NET P3026M-24POE.
మూలం: opennet.ru