Важно известие: |
Съобщение за сигурност на Zyxel за уязвимост, свързана с недостатъчна ентропия при генерирането на токени за уеб удостоверяване в комутаторите от серията GS1900
CVE: CVE-2024-38270
Резюме
Zyxel пусна кръпки за комутатори от серия GS1900, засегнати от уязвимост с недостатъчна ентропия. На потребителите се препоръчва да ги инсталират за оптимална защита.
Какво представлява уязвимостта?
Във фърмуера на комутатора Zyxel от серията GS1900 е открита уязвимост с недостатъчна ентропия, причинена от неправилно използване на функция за случайност с ниска ентропия за генериране на токени за уеб удостоверяване. Тази уязвимост може да позволи на атакуващ, базиран в локална мрежа, да отгатне валиден токен на сесия, ако са налице множество удостоверени сесии.
Кои версии са уязвими - и какво трябва да направите?
След задълбочено проучване идентифицирахме уязвимите продукти, които са в рамките на периода на поддръжка на уязвимостта, като техните фърмуерни пачове са показани в таблицата по-долу.
|
Засегнат модел |
Засегната версия | Наличие на кръпка |
| GS1900-8 | V2.80(AAHH.0)C0 | V2.80(AAHH.1)C0 |
| GS1900-8HP | V2.80(AAHI.0)C0 | V2.80(AAHI.1)C0 |
| GS1900-10HP | V2.80(AAZI.0)C0 | V2.80(AAZI.1)C0 |
| GS1900-16 | V2.80(AAHJ.0)C0 | V2.80(AAHJ.1)C0 |
| GS1900-24 | V2.80(AAHL.0)C0 | V2.80(AAHL.1)C0 |
| GS1900-24E | V2.80(AAHK.0)C0 | V2.80(AAHK.1)C0 |
| GS1900-24EP | V2.80(ABTO.0)C0 | V2.80(ABTO.1)C0 |
| GS1900-24HPv2 | V2.80(ABTP.0)C0 | V2.80(ABTP.1)C0 |
| GS1900-48 | V2.80(AAHN.0)C0 | V2.80(AAHN.1)C0 |
| GS1900-48HPv2 | V2.80(ABTQ.0)C0 | V2.80(ABTQ.1)C0 |
Имате въпрос?
Свържете се с местния си сервизен представител или посетете общността на Zyxel за допълнителна информация или помощ.
Потвърждение
Благодарим на Steinar H. Gunderson за това, че ни съобщи за проблема.
История на ревизиите
2024-9-10: Първоначално издание