兆勤科技針對 GS1900、XGS1210和XGS1250系列交換器的OS系統命令注入安全漏洞公告

CVEs: CVE-2021-35031, CVE-2021-35032

 

摘要

針對GS1900, XGS1210和XGS1250系列交換器中OS系統命令注入安全漏洞的問題,Zyxel已發佈最新修補程式。建議用戶安裝適用的更新韌體以獲得最佳保護。

 

什麼是安全漏洞攻擊?

CVE編號:CVE-2021-35031

Zyxel GS1900、XGS1210和XGS1250系列交換器的TFTP客戶端中發現了OS系統命令注入漏洞,使得經過身份驗證的當地使用者輕易地被存在攻擊風險的GUI設備任意執行OS系統命令。

CVE編號:CVE-2021-35032

Zyxel GS1900系列交換器的libsal.so中發現了一個OS系統命令注入安全漏洞,使得經過身份驗證的當地使用者可透過內部函數調用執行OS系統命令。

 

受影響的版本及預防措施

經過詳細的檢查,我們已針對仍在保固及支援期間內受影響的CVE-2021-35031和CVE-2021-35032交換器設備,發佈韌體修補程式,以提供用戶最佳防護。

CVE 編號 受影響的型號 最新修補程式
CVE-2021-35031 XGS1210-12 V1.00(ABTY.5)C0
CVE-2021-35031 XGS1250-12 V1.00(ABWE.1)C0
CVE-2021-35031
CVE-2021-35032
GS1900-8 可來信索取*
GS1900-8HP
GS1900-10HP
GS1900-16
GS1900-24E
GS1900-24EP
GS1900-24
GS1900-24HP
GS1900-24HPv2
GS1900-48
GS1900-48HP
GS1900-48HPv2

*如果對標準韌體有任何疑問,請聯繫Zyxel當地技術團隊。

 

如何獲得協助?

如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。

 

致謝

特別感謝Jasper Lievisse Adriaanse主動向我們回報此問題。

 

修訂記錄

2021-12-28: 初始版本
2022-6-13: 更新修補程式於表格上。使用者可於此期間聯繫 Zyxel的當地支援團隊取得標準韌體。