Your browser either does not support JavaScript or you have turned JavaScript off. Shellshock: 这对合勤产品是一个问题? | ZyXEL

Shellshock: 这对合勤产品是一个问题?

Shellshock: 这对合勤产品是一个问题?

2014年9月24日合勤科技要再次向其客户披露ZyXEL的网络产品,包括交换机USG的(统一安全网关),ZyWALL的VPN防火墙UAGs(统一接入网关),不受Shellshock漏洞风险影响

ZyXEL’s WLAN 控制器 (NXC 系列) 和 WLAN 接入点 (the NWA3000-N 系列NWA5000-N 系列), 稍受该漏洞影响。然而,我们都知道造成Shellshock的损害,并会继续努力,直到我们找到我们的客户提供最佳的解决方案。具体来说,合勤将发布一个新的补丁,并上传网络 (下载库) 在10月15日,以减轻客户关心有关漏洞的问题。

合勤科技将继续关注Shellshock的影响,并在必要时提供的最新资讯。为了获得最佳的网络安全,合勤建议客户限制过度保护的网络接入和仅授予信任的成员访问网络。

 

合勤产品受Shellshock这个漏洞影响?

解决方案产品受Shellshock影响最新的补丁更新
服务提供商 MSANs / DSLAMs N -
DSL CPEs N -
Ethernet Gateways N -
MSANs / DSLAMs N -
Managed Switches N -
GEPON/GEPON N -
服务提供商 DSL Gateways N -
Wireless Routers N -
Wireless Access Points N -
Wireless Extenders N -
Wireless Adapters N -
Desktop Switches N -
Network Storages/Media Servers N -
中小企业 Managed Switches N -
Smart Switches N -
Unmanaged Switches N -
WLAN Controllers
NXC Series (NXC5500, NXC5200, NXC2500)
Y 15th Oct., 2014
WLAN Access Points
- NWA3000-N Series (NWA316-N, NWA3560-N, NWA3550-N)
- NWA5000-N Series (NWA5160N, NWA5560-N, NWA5550-N)
Y 15th Oct., 2014
Unified Security Gateways N -
ZyWall VPN Firewalls N -
Unified Access Gateways N -
Hospitality Gateways N -

关于Shellshock漏洞

Shellshock (CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169), 最近发现的Internet范围的严重漏洞,攻击者能够覆盖或绕过某些限制,以执行Linux或Unix的bashshell命令。

 

CVE-2014-6271

GNU通过4.3流程随字符串环境变量的值,它允许远程攻击者通过制作环境中执行任意代码的函数定义后,涉及ForceCommand功能OpenSSH中sshd的载体,和mod_cgi一样mod_cgid模块在ApacheHTTP服务器,通过未指定DHCP客户端执行的脚本,以及其他情况,其中设置环境发生跨边界的权限执行,又名“ShellShock”。

 

CVE-2014-6277

GNU通过4.3 bash43-026不能正确解析函数定义的环境变量,它允许远程攻击者执行任意代码或引起拒绝服务(未初始化的内存访问,并不可信指针读取和写入操作)通过的值精雕细琢的环境,具体表现为涉及ForceCommand功能OpenSSH中sshd的载体,和mod_cgi一样,与Apache HTTP服务器中mod_cgid模块,由未指定DHCP客户端执行的脚本,以及其他情况,其设置环境超越特权边界。

 

CVE-2014-6278

GNU通过4.3 bash43-026不能正确解析环境变量,它允许远程攻击者通过制作环境中执行任意命令的值函数定义,具体表现为涉及ForceCommand特征向量OpenSSH中sshd的,和mod_cgi一样在mod_cgid模块Apache HTTP服务器中,由未指定DHCP客户端,以及其他情况下执行的脚本中设置环境变化。

 

CVE-2014-7169

GNU通过4.3 bash43-025过程中的环境变量,它允许远程攻击者可以写入文件或可能通过一个特制的环境有其他未知的影响,具体表现为涉及的ForceCommand特征向量的值一定格式错误的函数定义后,尾随字符串OpenSSH的sshd的,和mod_cgi一样,与Apache HTTP服务器中mod_cgid模块,由未指定DHCP客户端执行的脚本,以及其他情况,其中设置环境发生变化。

资料来源:美国国家漏洞数据库

CN / ZH