兆勤科技發布防火牆-命令注入弱點(Command Injection)資安公告,請用戶立即更新
概要
針對Chaitin安全研究實驗室近期報告的一個命令行注入漏洞,Zyxel發佈更新公告。為獲得最佳防護,建議用戶立即進行更新。
漏洞說明
在部分Zyxel防火牆上的 "chg_exp_pwd "CGI程式中發現了一個命令行注入漏洞。如果CGI程式缺少輸入字符串清除機制,則攻擊者就可能以管理員身份登錄,並嘗試利用該漏洞的CGI更改密碼,從而注入非法命令。
受影響產品--你應該怎麼做?
在對產品線進行徹底清查後,我們已確認在保固和維修期內易受攻擊的產品,如下表所示,並已發佈新韌體以解決該問題。該漏洞只影響韌體版本為ZLD V4.30至V4.55的防火牆,ZLD V4.30之前或ZLD V4.55之後的韌體不受影響。
然而,為達到最佳防護,我們強烈建議用戶立即進行更新。
受影響產品 | 最新更新 |
---|---|
VPN 系列 |
|
USG 系列 | ZLD V4.39 week38*及更高版本 |
USG FLEX 系列 | ZLD V4.55 week38*及更高版本 |
ATP 系列 | ZLD V4.55 week38*及更高版本 |
NSG 系列 | V1.33 patch 4**及更高版本 |
- *請聯繫您當地的Zyxel技術團隊以獲取hotfix檔。
- **韌體更新可在Nebula 雲網路控制中心(NCC)網站https://nebula.zyxel.com/.
如果您需要進一步的説明,請聯繫您所在的Zyxel技術團隊。
官網:https://www.zyxel.com/tw/zh/form/contact_us.shtml;
客服電話0800-500-550
問題詢問或漏洞回報
為獲得進一步的資訊或説明,請與當地經銷商或服務代表聯繫。如果您發現了一個漏洞,我們希望與您合作修復它--請聯繫security@zyxel.com.tw,我們會立即回覆您。
鳴謝
感謝 Chaitin Security Research Lab 的 swing & leommxj 通報這個問題。
最新資訊公告時程:
2020-11-23: 公告發布