安全客 2024年12月04日
保护您的网络: Zyxel 发布固件更新
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

Zyxel Networks发布了固件更新,以修复影响其一系列网络产品(包括4G LTE/5G NR CPE、DSL/以太网CPE、光纤ONT和WiFi扩展器)的多个漏洞。这些漏洞可能导致攻击者中断服务或执行恶意代码。其中包括缓冲区溢出漏洞(CVE-2024-8748)、命令注入漏洞(CVE-2024-9200)和缓冲区溢出漏洞(CVE-2024-9197)。受影响的产品范围广泛,包括LTE3301-PLUS、DX3300-T0和VMG3927-B50B等型号。Zyxel建议用户尽快安装最新的固件补丁,以确保设备安全,并提供了受影响产品和相应固件版本的详细列表。

⚠️ **多个漏洞影响Zyxel网络设备:** Zyxel Networks发布固件更新,修复了影响其4G LTE/5G NR CPE、DSL/以太网CPE、光纤ONT和WiFi扩展器等产品的多个漏洞,这些漏洞可能导致服务中断或恶意代码执行。

💻 **缓冲区溢出漏洞(CVE-2024-8748):** 该漏洞存在于第三方库“libclinkc”的数据包解析器中,可能导致拒绝服务攻击。该漏洞只有在启用广域网访问时才能被利用,默认情况下广域网访问是禁用的。

🖥️ **命令注入漏洞(CVE-2024-9200):** 该漏洞存在于DSL/Ethernet CPE固件的诊断功能中,攻击者可通过验证后执行任意操作系统命令。成功利用该漏洞需要破解管理员密码。

🌐 **缓冲区溢出漏洞(CVE-2024-9197):** 该漏洞存在于CGI程序“action”参数中,可能导致拒绝服务攻击。该漏洞只有在拥有管理权限且启用WAN访问时才能被利用,而WAN访问默认禁用。

📦 **受影响产品及修复方案:** 受影响的产品包括LTE3301-PLUS、DX3300-T0和VMG3927-B50B等,Zyxel已发布固件更新,用户可查阅官方公告获取详细信息并进行更新。

Zyxel Networks 发布固件更新,以解决影响其一系列网络产品的多个漏洞,包括 4G LTE/5G NR CPE、DSL/以太网 CPE、光纤 ONT 和 WiFi 扩展器。这些漏洞有可能使攻击者中断服务,甚至在受影响的设备上执行恶意代码。其中一个关键漏洞被识别为 CVE-2024-8748,它是一个缓冲区溢出漏洞,可允许远程攻击者对受影响设备的 Web 管理界面发起拒绝服务 (DoS) 攻击。此漏洞存在于 Zyxel 某些固件版本中使用的第三方库 “libclinkc ”的数据包解析器中。另一个重大漏洞(CVE-2024-9200)是一个验证后命令注入漏洞,可允许通过验证的攻击者在易受攻击的设备上执行任意操作系统命令。该漏洞影响某些 DSL/Ethernet CPE 固件版本中诊断功能的 “host ”参数。CVE-2024-9197 是一个中等严重性漏洞,它是 CGI 程序 “action ”参数中的验证后缓冲区溢出漏洞,影响多个固件版本。拥有管理权限的验证攻击者可通过恶意 HTTP GET 请求造成 DoS 状况。Zyxel 指出,有漏洞的功能和 WAN 访问均 “默认禁用”,从而进一步限制了漏洞的暴露。受影响的Zyxel产品范围广泛,包括LTE3301-PLUS、DX3300-T0和VMG3927-B50B等流行型号。已确定特定固件版本存在漏洞,可立即部署修补程序。有关受影响机型的完整列表和补丁详情,请用户查阅 Zyxel 的官方公告。Zyxel 强调,许多漏洞都有缓解因素。例如,CVE-2024-8748 只有在启用广域网访问时才能被利用,而广域网访问在默认情况下是禁用的。此外,要成功利用 CVE-2024-9200 漏洞,需要破坏强大、唯一的管理员密码。尽管存在这些缓解因素,但该公司仍敦促用户尽快安装最新的固件补丁,以确保获得最佳保护。Zyxel 在其官方安全公告中提供了受影响产品和相应固件版本的详细列表。Zyxel 在其公告中表示:“经过彻底调查,我们已经在漏洞支持期内确定了受影响的产品,并发布了固件补丁来解决这些漏洞。”即使有缓解因素,如果不加以解决,漏洞也会带来重大风险。我们鼓励用户查看 Zyxel 的公告,并采取必要行动确保设备安全。

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Zyxel 网络安全 固件更新 漏洞 CPE
相关文章