Your browser either does not support JavaScript or you have turned JavaScript off.

Рекомендации Zyxel по безопасности для устранения уязвимостей

Описание

Компания Zyxel знает о нескольких уязвимостей, о которых сообщил наш партнер-консультант по безопасности, SEC Consult, и рекомендует пользователям устанавливать соответствующие обновления микропрограммы для обеспечения оптимальной защиты.


В чём заключаются уязвимости?

Существует восемь уязвимостей, идентифицированных следующим образом:

  1. В веб-сервере затронутых устройств была обнаружена уязвимость переполнения буфера.
  2. В CGI отсутствует надлежащий механизм контроля разрешений, который может позволить злоумышленнику читать конфиденциальные файлы на устройствах.
  3. Недостаточно защищенные учетные данные в файле конфигурации устройств могут позволить злоумышленнику получить пароли.
  4. В инструменте диагностики и интерфейсе загрузки сертификатов устройств обнаружена уязвимость внедрения команд.
  5. Уязвимость контроля доступа в устройствах может позволить менее привилегированному пользователю получить доступ к более привилегированным функциям.
  6. Уязвимость обработки неправильных символических ссылок на FTP-сервере может позволить злоумышленнику получить доступ для чтения к корневой файловой системе.
  7. В API устройств обнаружена уязвимость, которую можно было использовать без аутентификации для получения нового сессионного ключа.
  8. Обнаружена уязвимость скриптинга в поле имени принтера в меню сервера печати веб-интерфейса устройства.

Какие устройства уязвимы и что следует делать?

После тщательного расследования мы определили затронутые продукты, на которые распространяется гарантия и период поддержки, как показано по этой ссылке. Если устройство не указано в списке, оно не затронуто уязвимостями или срок его поддержки истек. Мы рекомендуем пользователям устанавливать соответствующие обновления для оптимальной защиты.

Обратите внимание, что таблица по приведенной ссылке НЕ включает специальные модели для интернет-провайдеров (ISP).

 

Если вы являетесь интернет-провайдером, обратитесь к представителю Zyxel для получения дополнительной информации.

Если вы являетесь конечным пользователем, получившим свое устройство Zyxel от интернет-провайдера, обратитесь напрямую в службу поддержки интернет-провайдера, так как устройство может иметь индивидуальные настройки.

Если вы являетесь конечным пользователем, который самостоятельно приобрел устройство, обратитесь в местную службу поддержки Zyxel или посетите наш форум для получения дополнительной помощи.


Есть вопросы?

Свяжитесь с местной техподдержкой или напишите на нашем форуме для получения дополнительной информации.


Благодарность

Спасибо SEC Consult за сообщение об уязвимостях.


Изменения

2022-2-15: Первый выпуск