Zyxel-Sicherheitsempfehlung für OS Command Injection-Schwachstellen von Switches der Serien GS1900, XGS1210 und XGS1250

CVE: CVE-2021-35031, CVE-2021-35032

Zusammenfassung

Zyxel hat Patches veröffentlicht, die die Sicherheitslücken von OS Command Injection in den Switches der Serien GS1900, XGS1210 und XGS1250 beheben. Benutzern wird empfohlen, für einen optimalen Schutz die entsprechenden Firmware-Updates zu installieren.

Was sind die Schwachstellen?

CVE-2021-35031

Im TFTP-Client der Switch-Serien GS1900, XGS1210 und XGS1250 von Zyxel wurde eine OS Command Injection-Schwachstelle identifiziert, sodass ein authentifizierter lokaler Benutzer beliebige OS-Befehle über die GUI des anfälligen Geräts ausführen kann.

CVE-2021-35032

In der Datei libsal.so der Switches der GS1900-Serie von Zyxel wurde eine OS Command Injection-Schwachstelle identifiziert, sodass ein authentifizierter lokaler Benutzer OS-Befehle über interne Funktionsaufrufe ausführen kann.

Welche Versionen sind anfällig – und was sollten Sie tun?

Nach einer gründlichen Untersuchung haben wir die anfälligen Switches für CVE-2021-35031 und CVE-2021-35032 identifiziert, die innerhalb ihrer Garantie- und Supportzeit liegen, wobei ihre Firmware-Patches in der folgenden Tabelle aufgeführt sind.

Hast du eine Frage?

Bitte wenden Sie sich an Ihren Servicemitarbeiter vor Ort oder besuchen Sie das Forum von Zyxel, um weitere Informationen oder Unterstützung zu erhalten.

Wissen

Vielen Dank an Jasper Lievisse Adriaanse für die Meldung des Problems an uns.