兆勤科技針對 GS1900、XGS1210和XGS1250系列交換器的OS系統命令注入安全漏洞公告
CVEs: CVE-2021-35031, CVE-2021-35032
摘要
針對GS1900, XGS1210和XGS1250系列交換器中OS系統命令注入安全漏洞的問題,Zyxel已發佈最新修補程式。建議用戶安裝適用的更新韌體以獲得最佳保護。
什麼是安全漏洞攻擊?
CVE編號:CVE-2021-35031
Zyxel GS1900、XGS1210和XGS1250系列交換器的TFTP客戶端中發現了OS系統命令注入漏洞,使得經過身份驗證的當地使用者輕易地被存在攻擊風險的GUI設備任意執行OS系統命令。
CVE編號:CVE-2021-35032
Zyxel GS1900系列交換器的libsal.so中發現了一個OS系統命令注入安全漏洞,使得經過身份驗證的當地使用者可透過內部函數調用執行OS系統命令。
受影響的版本及預防措施
經過詳細的檢查,我們已針對仍在保固及支援期間內受影響的CVE-2021-35031和CVE-2021-35032交換器設備,發佈韌體修補程式,以提供用戶最佳防護。
CVE 編號 | 受影響的型號 | 最新修補程式 |
---|---|---|
CVE-2021-35031 | XGS1210-12 | V1.00(ABTY.5)C0 |
CVE-2021-35031 | XGS1250-12 | V1.00(ABWE.1)C0 |
CVE-2021-35031 CVE-2021-35032 |
GS1900-8 | 可來信索取* |
GS1900-8HP | ||
GS1900-10HP | ||
GS1900-16 | ||
GS1900-24E | ||
GS1900-24EP | ||
GS1900-24 | ||
GS1900-24HP | ||
GS1900-24HPv2 | ||
GS1900-48 | ||
GS1900-48HP | ||
GS1900-48HPv2 |
*如果對標準韌體有任何疑問,請聯繫Zyxel當地技術團隊。
如何獲得協助?
如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。
致謝
特別感謝Jasper Lievisse Adriaanse主動向我們回報此問題。
修訂記錄
2021-12-28: 初始版本
2022-6-13: 更新修補程式於表格上。使用者可於此期間聯繫 Zyxel的當地支援團隊取得標準韌體。