ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > RTL83xx చిప్ల ఆధారంగా Cisco, Zyxel మరియు NETGEAR స్విచ్ల నియంత్రణను స్వాధీనం చేసుకోవడానికి అనుమతించే దుర్బలత్వాలు
RTL83xx చిప్ల ఆధారంగా Cisco, Zyxel మరియు NETGEAR స్విచ్ల నియంత్రణను స్వాధీనం చేసుకోవడానికి అనుమతించే దుర్బలత్వాలు
Cisco Small Business 83, Zyxel GS220-1900, NETGEAR GS24x, ALLNET ALL-SG75M మరియు అంతగా తెలియని తయారీదారుల నుండి డజనుకు పైగా పరికరాలతో సహా RTL8208xx చిప్లపై ఆధారపడిన స్విచ్లలో, గుర్తించబడింది ప్రామాణీకరించబడని దాడి చేసే వ్యక్తి స్విచ్పై నియంత్రణ సాధించడానికి అనుమతించే క్లిష్టమైన దుర్బలత్వాలు. Realtek నిర్వహించబడే స్విచ్ కంట్రోలర్ SDKలోని లోపాల వల్ల సమస్యలు ఏర్పడతాయి, ఫర్మ్వేర్ను సిద్ధం చేయడానికి ఉపయోగించిన కోడ్.
మొదటి దుర్బలత్వం (CVE-2019-1913) వెబ్ నియంత్రణ ఇంటర్ఫేస్ను ప్రభావితం చేస్తుంది మరియు రూట్ వినియోగదారు అధికారాలతో మీ కోడ్ని అమలు చేయడం సాధ్యం చేస్తుంది. వినియోగదారు అందించిన పారామితుల యొక్క తగినంత ధృవీకరణ మరియు ఇన్పుట్ డేటాను చదివేటప్పుడు బఫర్ సరిహద్దులను సరిగ్గా మూల్యాంకనం చేయడంలో వైఫల్యం కారణంగా ఈ దుర్బలత్వం ఏర్పడింది. ఫలితంగా, దాడి చేసే వ్యక్తి ప్రత్యేకంగా రూపొందించిన అభ్యర్థనను పంపడం ద్వారా బఫర్ ఓవర్ఫ్లోను కలిగించవచ్చు మరియు వారి కోడ్ని అమలు చేయడానికి సమస్యను ఉపయోగించుకోవచ్చు.
రెండవ దుర్బలత్వం (CVE-2019-1912) కాన్ఫిగరేషన్ ఫైల్లను ఓవర్రైట్ చేయడం మరియు రిమోట్ లాగిన్ కోసం రివర్స్ షెల్ను ప్రారంభించడం వంటి వాటితో సహా ప్రమాణీకరణ లేకుండా స్విచ్లో ఏకపక్ష ఫైల్లను లోడ్ చేయడానికి అనుమతిస్తుంది. వెబ్ ఇంటర్ఫేస్లో అనుమతుల యొక్క అసంపూర్ణ తనిఖీ కారణంగా సమస్య ఏర్పడింది.
మీరు తక్కువ ప్రమాదకరమైన తొలగింపును కూడా గమనించవచ్చు దుర్బలత్వాలు (CVE-2019-1914), ఇది వెబ్ ఇంటర్ఫేస్కు ప్రత్యేకించబడని ప్రామాణీకరించబడిన లాగిన్ ఉన్నట్లయితే, రూట్ అధికారాలతో ఏకపక్ష ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది. Cisco Small Business 220 (1.1.4.4), Zyxel మరియు NETGEAR ఫర్మ్వేర్ అప్డేట్లలో సమస్యలు పరిష్కరించబడతాయి. ఆపరేటింగ్ పద్ధతుల యొక్క వివరణాత్మక వివరణ ప్రణాళిక చేయబడింది ప్రచురించండి ఆగస్టు 20.
RTL83xx చిప్ల ఆధారంగా ఇతర పరికరాలలో కూడా సమస్యలు కనిపిస్తాయి, అయితే అవి తయారీదారులచే ఇంకా నిర్ధారించబడలేదు మరియు పరిష్కరించబడలేదు: