Důležité upozornění: |
Bezpečnostní upozornění společnosti Zyxel týkající se zranitelnosti nedostatečné entropie při generování webových autentizačních tokenů v přepínačích řady GS1900
CVE: CVE-2024-38270
Shrnutí:
Společnost Zyxel vydala opravy pro přepínače řady GS1900 postižené zranitelností nedostatečné entropie. Uživatelům se doporučuje, aby je pro optimální ochranu nainstalovali.
O jakou zranitelnost se jedná?
Ve firmwaru přepínačů Zyxel řady GS1900 byla nalezena zranitelnost nedostatečné entropie způsobená nesprávným použitím funkce náhodnosti s nízkou entropií pro generování webových ověřovacích tokenů. Tato zranitelnost by mohla umožnit útočníkovi v síti LAN uhodnout platný token relace, pokud je naživu více ověřených relací.
Které verze jsou zranitelné - a co byste měli dělat?
Po důkladném prozkoumání jsme identifikovali zranitelné produkty, které se nacházejí v období podpory zranitelnosti, přičemž záplaty jejich firmwaru jsou uvedeny v tabulce níže.
|
Postižený model |
Postižená verze | Dostupnost záplaty |
| GS1900-8 | V2.80(AAHH.0)C0 | V2.80(AAHH.1)C0 |
| GS1900-8HP | V2.80(AAHI.0)C0 | V2.80(AAHI.1)C0 |
| GS1900-10HP | V2.80(AAZI.0)C0 | V2.80(AAZI.1)C0 |
| GS1900-16 | V2.80(AAHJ.0)C0 | V2.80(AAHJ.1)C0 |
| GS1900-24 | V2.80(AAHL.0)C0 | V2.80(AAHL.1)C0 |
| GS1900-24E | V2.80(AAHK.0)C0 | V2.80(AAHK.1)C0 |
| GS1900-24EP | V2.80(ABTO.0)C0 | V2.80(ABTO.1)C0 |
| GS1900-24HPv2 | V2.80(ABTP.0)C0 | V2.80(ABTP.1)C0 |
| GS1900-48 | V2.80(AAHN.0)C0 | V2.80(AAHN.1)C0 |
| GS1900-48HPv2 | V2.80(ABTQ.0)C0 | V2.80(ABTQ.1)C0 |
Máte dotaz?
Obraťte se na místního servisního zástupce nebo navštivte komunitu společnosti Zyxel, kde získáte další informace nebo pomoc.
Potvrzení
Za nahlášení problému děkujeme Steinar H. Gundersonovi.
Historie revizí
2024-9-10: První vydání