ProHoster > Blog > ахбори интернет > Осебиятҳое, ки имкон медиҳанд назорати коммутаторҳои Cisco, Zyxel ва NETGEAR дар микросхемаҳои RTL83xx гирифта шаванд

Осебиятҳое, ки имкон медиҳанд назорати коммутаторҳои Cisco, Zyxel ва NETGEAR дар микросхемаҳои RTL83xx гирифта шаванд

Дар коммутаторҳо дар асоси чипҳои RTL83xx, аз ҷумла Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M ва зиёда аз даҳ дастгоҳҳои истеҳсолкунандагони камтар маълум, муайян карда шуд осебпазириҳои муҳим, ки ба ҳамлагари номаълум имкон медиҳанд, ки назорати гузаришро ба даст оранд. Мушкилот аз хатогиҳо дар Realtek Managed Switch Controller SDK, ки коди он барои омода кардани нармафзор истифода шудааст, ба вуҷуд омадааст.

Аввалин осебпазирӣ (CVE-2019-1913) ба интерфейси идоракунии веб таъсир мерасонад ва имкон медиҳад, ки рамзи шумо бо имтиёзҳои корбари реша иҷро карда шавад. Ин осебпазирӣ бо сабаби тасдиқи нокифояи параметрҳои аз ҷониби корбар таъминшуда ва дуруст баҳо надодани сарҳадҳои буферӣ ҳангоми хондани маълумоти воридотӣ мебошад. Дар натиҷа, ҳамлакунанда метавонад тавассути фиристодани дархости махсус таҳияшуда боиси фаромадани буфер гардад ва аз мушкилот барои иҷрои рамзи худ истифода барад.

Камбудии дуюм (CVE-2019-1912) имкон медиҳад, ки файлҳои худсарона ба коммутатор бе аутентификатсия бор карда шаванд, аз ҷумла сабти дубораи файлҳои конфигуратсия ва оғоз кардани қабати баръакс барои воридшавии дурдаст. Мушкилот дар натиҷаи санҷиши нопурраи иҷозатҳо дар интерфейси веб ба вуҷуд омадааст.

Шумо инчунин метавонед рафъи камтар хатарнокро қайд кунед осебпазирӣ (CVE-2019-1914), ки имкон медиҳад фармонҳои худсарона бо имтиёзҳои решавӣ иҷро карда шаванд, агар воридшавии беимтиёз ба интерфейси веб мавҷуд бошад. Масъалаҳо дар навсозиҳои нармафзори Cisco Small Business 220 (1.1.4.4), Zyxel ва NETGEAR ҳал карда мешаванд. Тавсифи муфассали усулҳои амалиёт ба нақша гирифта шудааст нашр кунед 20 август.

Мушкилот дар дигар дастгоҳҳо дар асоси чипҳои RTL83xx низ пайдо мешаванд, аммо онҳо ҳанӯз аз ҷониби истеҳсолкунандагон тасдиқ карда нашудаанд ва ҳал карда нашудаанд:

  • EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
  • PLANET GS-4210-8P2S, GS-4210-24T2;
  • DrayTek VigorSwitch P1100;
  • CERIO CS-2424G-24P;
  • Xhome DownLoop-G24M;
  • Abaniact (INABA) AML2-PS16-17GP L2;
  • Шабакаҳои Araknis (SnapAV) AN-310-SW-16-POE;
  • EDIMAX GS-5424PLC, GS-5424PLC;
  • Open Mesh OMS24;
  • Pakedgedevice SX-8P;
  • TG-NET P3026M-24POE.

Манбаъ: opennet.ru

Илова Эзоҳ