兆勤科技安全漏洞公告:GS1900 系列交換器中網頁驗證 Token 生成的熵值不足漏洞

CVE 編號: CVE-2024-38270
摘要

Zyxel 已針對受熵值不足漏洞影響的 GS1900 系列交換器發布了更新檔。建議用戶盡速安裝這些更新檔以獲得最佳保護。

安全漏洞產生哪些狀況?

在 Zyxel GS1900 系列交換器的韌體中發現了一個熵值不足漏洞,該漏洞源於隨機函數使用不當,導致網頁驗證 Token 生成熵值過低。這個漏洞可能讓基於局域網的攻擊者在多個已驗證會話仍然有效的情況下,猜測出有效的會話 Token。

哪些版本可能受到攻擊,應該怎麼做?

經過全面調查,我們已經確認在此次安全漏洞易受攻擊的產品,並發布了更新檔來解決這些漏洞,如下表所示。


受影響型號 受影響版本 最新修補程式
GS1900-8 V2.80(AAHH.0)C0 V2.80(AAHH.1)C0
GS1900-8HP V2.80(AAHI.0)C0 V2.80(AAHI.1)C0
GS1900-10HP V2.80(AAZI.0)C0 V2.80(AAZI.1)C0
GS1900-16 V2.80(AAHJ.0)C0 V2.80(AAHJ.1)C0
GS1900-24 V2.80(AAHL.0)C0 V2.80(AAHL.1)C0
GS1900-24E V2.80(AAHK.0)C0 V2.80(AAHK.1)C0
GS1900-24EP V2.80(ABTO.0)C0 V2.80(ABTO.1)C0
GS1900-24HPv2 V2.80(ABTP.0)C0 V2.80(ABTP.1)C0
GS1900-48 V2.80(AAHN.0)C0 V2.80(AAHN.1)C0
GS1900-48HPv2 V2.80(ABTQ.0)C0 V2.80(ABTQ.1)C0
如何獲得協助?

如有任何問題,請聯繫 Zyxel 經銷商、Zyxel 技術團隊(0800-500-550),或至官方 Zyxel 中文論壇,我們將會提供進一步協助與說明。

致謝

感謝 Steinar H. Gunderson 向我們回報此問題。

修訂記錄

2024-9-10:初始版本。