Poradnik dotyczący bezpieczeństwa firmy Zyxel dotyczący luk w zabezpieczeniach wstrzykiwania poleceń systemu operacyjnego w przełącznikach serii GS1900, XGS1210 i XGS1250

CVE: CVE-2021-35031, CVE-2021-35032

Streszczenie

Firma Zyxel wydała poprawki usuwające luki w zabezpieczeniach systemu operacyjnego związane z wstrzykiwaniem poleceń w przełącznikach z serii GS1900, XGS1210 i XGS1250. Użytkownikom zaleca się zainstalowanie odpowiednich aktualizacji oprogramowania układowego w celu uzyskania optymalnej ochrony.

Jakie są luki w zabezpieczeniach?

CVE-2021-35031

W kliencie TFTP przełączników serii GS1900, XGS1210 i XGS1250 firmy Zyxel zidentyfikowano lukę dotyczącą wstrzykiwania poleceń systemu operacyjnego, która umożliwia uwierzytelnionemu użytkownikowi lokalnemu wykonanie dowolnych poleceń systemu operacyjnego za pośrednictwem interfejsu GUI urządzenia, którego dotyczy luka.

CVE-2021-35032

W pliku libsal.so przełączników serii GS1900 firmy Zyxel zidentyfikowano lukę umożliwiającą wstrzykiwanie poleceń systemu operacyjnego, umożliwiającą uwierzytelnionemu użytkownikowi lokalnemu wykonywanie poleceń systemu operacyjnego za pomocą wewnętrznych wywołań funkcji.

Które wersje są podatne na ataki — i co należy zrobić?

Po dokładnym zbadaniu zidentyfikowaliśmy wrażliwe przełączniki dla CVE-2021-35031 i CVE-2021-35032, które są objęte gwarancją i wsparciem technicznym, a ich poprawki oprogramowania układowego przedstawiono w poniższej tabeli.

Masz pytanie?

Skontaktuj się z lokalnym przedstawicielem serwisu lub odwiedź forum firmy Zyxel w celu uzyskania dalszych informacji lub pomocy.

Potwierdzenie

Dziękujemy Jasperowi Lievisse Adriaanse za zgłoszenie nam problemu.