Your browser either does not support JavaScript or you have turned JavaScript off.

CVE-2019-12581, CVE-2019-12583 安全性漏洞公告及最新修補程式下載

支持Free Time 無線熱點功能的Zyxel防火牆和安全閘道器容易受到跨站指令碼(XSS)和安全性錯誤配置的漏洞影響。合勤建議相關用戶儘快安裝最新的修補程式以獲得最佳保護。


之前已發現內含“free_time_failed.cgi”程序的防火牆和具熱點功能的安全閘道器存在跨站指令碼和安全性錯誤配置漏洞,攻擊者可能繞過身分驗證獲取熱點用戶瀏覽器的cookie,即使禁用“Free Time”功能也無法避免。

在此特別澄清,熱點訪客用戶的帳號僅用於提供某些選定網頁的臨時連網權限,不會影響到設備本身的管理帳號。此外,根據設備預設功能,會阻止熱點用戶登入設備管理介面,亦即攻擊者利用此漏洞,也無法遠端登入或更改設備的管理設置。

經徹查後,我們確認所有會受到此漏洞影響的合勤產品型號,並已提供修補程式下載(詳見下表),希望相關用戶能儘快下載並完成安裝,以獲得最佳保護;我們也將在設備的最新韌體更新版本中將此修補程序納入。

 

受影響設備 修補程式下載 包含修補程式的韌體版本
UAG2100 已停產,請直接下載修補程式
UAG4100 已停產,請直接下載修補程式
UAG5100 已停產,請直接下載修補程式
USG110 新版韌體ZLD4.35將於2019年10月釋出
USG210 新版韌體ZLD4.35將於2019年10月釋出
USG310 新版韌體ZLD4.35將於2019年10月釋出
USG1100 新版韌體ZLD4.35將於2019年10月釋出
USG1900 新版韌體ZLD4.35將於2019年10月釋出
USG2200-VPN 新版韌體ZLD4.35將於2019年10月釋出
ZyWALL 110 新版韌體ZLD4.35將於2019年10月釋出
ZyWALL 310 新版韌體ZLD4.35將於2019年10月釋出
ZyWALL 1100 新版韌體ZLD4.35將於2019年10月釋出
VPN100 新版韌體SD-OS v10.02 patch 1已於2019年6月釋出
VPN300 新版韌體SD-OS v10.02 patch 1已於2019年6月釋出

如有任何疑問,請聯繫為您服務的合勤業務窗口以獲得進一步説明。如您容易遭受攻擊並需要協助,請寄信至 security@zyxel.com.tw,我們將儘快與您聯絡。