Viktigt meddelande: |
Zyxel säkerhetsmeddelande för otillräcklig entropi sårbarhet för generering av webbautentiseringstoken i GS1900-seriens switchar
CVE: CVE-2024-38270
Sammanfattning
Zyxel har släppt korrigeringar för switchar i GS1900-serien som påverkas av en sårbarhet för otillräcklig entropi. Användare rekommenderas att installera dem för optimalt skydd.
Vad är sårbarheten?
En otillräcklig entropisårbarhet orsakad av felaktig användning av en slumpfunktion med låg entropi för generering av webbautentiseringstoken hittades i firmware för Zyxel GS1900-seriens switch. Den här sårbarheten kan göra det möjligt för en LAN-baserad angripare att gissa sig till en giltig sessionstoken om flera autentiserade sessioner är aktiva.
Vilka versioner är sårbara - och vad ska du göra?
Efter en grundlig undersökning har vi identifierat de sårbara produkterna som är inom sin supportperiod för sårbarheten, med deras firmware-patchar som visas i tabellen nedan.
|
Berörd modell |
Berörd version | Tillgänglighet för patch |
| GS1900-8 | V2.80(AAHH.0)C0 | V2.80(AAHH.1)C0 |
| GS1900-8HP | V2.80(AAHI.0)C0 | V2.80(AAHI.1)C0 |
| GS1900-10HP | V2.80(AAZI.0)C0 | V2.80(AAZI.1)C0 |
| GS1900-16 | V2.80(AAHJ.0)C0 | V2.80(AAHJ.1)C0 |
| GS1900-24 | V2.80(AAHL.0)C0 | V2.80(AAHL.1)C0 |
| GS1900-24E | V2.80(AAHK.0)C0 | V2.80(AAHK.1)C0 |
| GS1900-24EP | V2.80(ABTO.0)C0 | V2.80(ABTO.1)C0 |
| GS1900-24HPv2 | V2.80(ABTP.0)C0 | V2.80(ABTP.1)C0 |
| GS1900-48 | V2.80(AAHN.0)C0 | V2.80(AAHN.1)C0 |
| GS1900-48HPv2 | V2.80(ABTQ.0)C0 | V2.80(ABTQ.1)C0 |
Har du en fråga?
Kontakta din lokala servicerepresentant eller besök Zyxel's Community för ytterligare information eller hjälp.
Erkännande
Tack till Steinar H. Gunderson för att han rapporterade problemet till oss.
Revisionshistorik
2024-9-10: Första utgåvan