Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Zyxel-Sicherheitsempfehlung für lokale Privilegienausweitung und authentifizierte Verzeichnistraversal-Schwachstellen von Firewalls CVE-2022-30526, CVE-2022-2030 Sicherheitshinweis icon

Avatar
  • Aktualisiert
Zurück nach oben

Wichtiger Hinweis:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Genauigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Zyxel-Sicherheitsempfehlung für lokale Privilegienausweitung und authentifizierte Directory-Traversal-Schwachstellen von Firewalls

CVE: CVE-2022-30526 , CVE-2022-2030

Zusammenfassung

Zyxel hat Patches für Produkte veröffentlicht, die von Schwachstellen bezüglich lokaler Rechteausweitung und authentifizierter Verzeichnisdurchquerung betroffen sind. Benutzern wird empfohlen, sie für einen optimalen Schutz zu installieren.

Was sind die Schwachstellen?

CVE-2022-30526

Im CLI-Befehl einiger Firewall-Versionen wurde eine Sicherheitsanfälligkeit bezüglich der Ausweitung von Berechtigungen identifiziert, die es einem lokalen Angreifer ermöglichen könnte, einige Betriebssystembefehle mit Root-Rechten in einigen Verzeichnissen auf einem anfälligen Gerät auszuführen.

CVE-2022-2030

In einigen CGI-Programmen einiger Firewall-Versionen wurde eine authentifizierte Directory Traversal-Schwachstelle identifiziert, die durch bestimmte Zeichenfolgen innerhalb einer nicht ordnungsgemäß bereinigten URL verursacht wird.

Welche Versionen sind anfällig – und was sollten Sie tun?

Nach einer gründlichen Untersuchung haben wir die anfälligen Produkte für CVE-2022-30526 und CVE-2022-2030 identifiziert, die sich innerhalb ihres Schwachstellen-Supportzeitraums befinden, wobei ihre Firmware-Patches in der folgenden Tabelle aufgeführt sind.

 

Betroffenes Modell

Betroffene Version

Patch-Verfügbarkeit

CVE-2022-30526

CVE-2022-0230

USG FLEX 100(W), 200, 500, 700

ZLD V4.50~V5.30

ZLD V4.50~V5.30

ZLD V5.31

USG FLEX 50(W) / USG20(W)-VPN

ZLD V4.16~V5.30

ZLD V4.16~V5.30

ZLD V5.31

ATP-Serie

ZLD V4.32~V5.30

ZLD V4.32~V5.30

ZLD V5.31

VPN-Serie

ZLD V4.30~V5.30

ZLD V4.30~V5.30

ZLD V5.31

USG/ZyWALL

ZLD V4.09~V4.72

ZLD V4.11~V4.72

ZLD V4.72 WK28

 

Hast du eine Frage?

Bitte öffnen Sie einen Support-Fall und wir werden Ihnen helfen. Jetzt geöffnet!

 

Wissen

Vielen Dank an die folgenden Sicherheitsberatungsunternehmen, die uns die Probleme gemeldet haben:

  • Rapid7 für CVE-2022-30526
  • Maurizio Agazzini (HN Security) in Zusammenarbeit mit SSD Secure Disclosure für CVE-2022-2030

Revisionsgeschichte

19.07.2022: Erstveröffentlichung

Contact Us
War dieser Beitrag hilfreich?
0 von 1 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.