Aviso importante: |
Zyxel aviso de seguridad para la vulnerabilidad de entropía insuficiente para la generación de tokens de autenticación web en los conmutadores de la serie GS1900
CVE: CVE-2024-38270
Resumen
Zyxel ha publicado parches para los switches de la serie GS1900 afectados por una vulnerabilidad de entropía insuficiente. Se recomienda a los usuarios que los instalen para una protección óptima.
¿En qué consiste la vulnerabilidad?
Se ha encontrado una vulnerabilidad de entropía insuficiente causada por el uso inadecuado de una función de aleatoriedad con baja entropía para la generación de tokens de autenticación web en el firmware de los conmutadores Zyxel de la serie GS1900. Esta vulnerabilidad podría permitir a un atacante basado en LAN adivinar un token de sesión válido si varias sesiones autenticadas están vivas.
¿Qué versiones son vulnerables y qué debe hacer?
Tras una investigación exhaustiva, hemos identificado los productos vulnerables que se encuentran dentro de su período de soporte de vulnerabilidades, con sus parches de firmware que se muestran en la tabla siguiente.
|
Modelo afectado |
Versión afectada | Disponibilidad del parche |
| GS1900-8 | V2.80(AAHH.0)C0 | V2.80(AAHH.1)C0 |
| GS1900-8HP | V2.80(AAHI.0)C0 | V2.80(AAHI.1)C0 |
| GS1900-10HP | V2.80(AAZI.0)C0 | V2.80(AAZI.1)C0 |
| GS1900-16 | V2.80(AAHJ.0)C0 | V2.80(AAHJ.1)C0 |
| GS1900-24 | V2.80(AAHL.0)C0 | V2.80(AAHL.1)C0 |
| GS1900-24E | V2.80(AAHK.0)C0 | V2.80(AAHK.1)C0 |
| GS1900-24EP | V2.80(ABTO.0)C0 | V2.80(ABTO.1)C0 |
| GS1900-24HPv2 | V2.80(ABTP.0)C0 | V2.80(ABTP.1)C0 |
| GS1900-48 | V2.80(AAHN.0)C0 | V2.80(AAHN.1)C0 |
| GS1900-48HPv2 | V2.80(ABTQ.0)C0 | V2.80(ABTQ.1)C0 |
¿Tiene alguna pregunta?
Póngase en contacto con su representante de servicio local o visite la Comunidad de Zyxel para obtener más información o asistencia.
Agradecimientos
Gracias a Steinar H. Gunderson por informarnos del problema.
Historial de revisiones
2024-9-10: Versión inicial