Ważna informacja: |
Poradnik bezpieczeństwa Zyxel dotyczący luki w zabezpieczeniach związanej z niewystarczającą entropią podczas generowania tokenów uwierzytelniania sieciowego w przełącznikach z serii GS1900
CVE: CVE-2024-38270
Podsumowanie
Firma Zyxel opublikowała poprawki dla przełączników z serii GS1900, w których występuje luka związana z niewystarczającą entropią. Użytkownikom zaleca się ich instalację w celu zapewnienia optymalnej ochrony.
Na czym polega luka?
W oprogramowaniu sprzętowym przełączników Zyxel z serii GS1900 wykryto lukę w zabezpieczeniach związaną z niewystarczającą entropią, spowodowaną niewłaściwym użyciem funkcji losowości o niskiej entropii do generowania tokenów uwierzytelniania sieciowego. Luka ta może pozwolić atakującemu w sieci LAN na odgadnięcie ważnego tokena sesji, jeśli wiele uwierzytelnionych sesji jest aktywnych.
Które wersje są podatne - i co należy zrobić?
Po dokładnym zbadaniu zidentyfikowaliśmy podatne produkty, które znajdują się w okresie wsparcia podatności, a ich poprawki oprogramowania układowego przedstawiono w poniższej tabeli.
|
Model, którego dotyczy luka |
Wersja, której dotyczy luka | Dostępność poprawki |
| GS1900-8 | V2.80(AAHH.0)C0 | V2.80(AAHH.1)C0 |
| GS1900-8HP | V2.80(AAHI.0)C0 | V2.80(AAHI.1)C0 |
| GS1900-10HP | V2.80(AAZI.0)C0 | V2.80(AAZI.1)C0 |
| GS1900-16 | V2.80(AAHJ.0)C0 | V2.80(AAHJ.1)C0 |
| GS1900-24 | V2.80(AAHL.0)C0 | V2.80(AAHL.1)C0 |
| GS1900-24E | V2.80(AAHK.0)C0 | V2.80(AAHK.1)C0 |
| GS1900-24EP | V2.80(ABTO.0)C0 | V2.80(ABTO.1)C0 |
| GS1900-24HPv2 | V2.80(ABTP.0)C0 | V2.80(ABTP.1)C0 |
| GS1900-48 | V2.80(AAHN.0)C0 | V2.80(AAHN.1)C0 |
| GS1900-48HPv2 | V2.80(ABTQ.0)C0 | V2.80(ABTQ.1)C0 |
Masz pytanie?
Skontaktuj się z lokalnym przedstawicielem serwisu lub odwiedź społeczność Zyxel, aby uzyskać dodatkowe informacje lub pomoc.
Podziękowania
Podziękowania dla Steinara H. Gundersona za zgłoszenie problemu.
Historia wersji
2024-9-10: Pierwsze wydanie