資安公告: 請參閱
https://www.zyxel.com/tw/zh/support/security_advisories.shtml
轉貼合勤原廠資安公告
CVE 編號:CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474
摘要
Zyxel 已發布修補程式以解決 NAS 產品中的身份驗證繞過安全漏洞和命令注入安全漏洞。 建議用戶安裝最新修補程式以獲得最佳保護。
有哪些安全漏洞?
CVE-2023-35137
Zyxel NAS 設備中身份驗證模組中的不正確身份驗證安全漏洞可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送經過設計的 URL 來獲取系統資訊。
CVE-2023-35138
Zyxel NAS 裝置中「show_zysync_server_contents」函數中的命令注入漏洞可能允許未經驗證的攻擊者透過傳送經過設計的 HTTP POST 請求來執行某些作業系統 (OS) 命令。
CVE-2023-37927
Zyxel NAS 裝置中 CGI 程式中特殊元素的不當中和可能允許經過驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
CVE-2023-37928
Zyxel NAS 裝置中 WSGI 伺服器中的驗證後命令注入漏洞可能允許經過驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
CVE-2023-4473
Zyxel NAS 裝置中的 Web 伺服器中的命令注入漏洞可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
CVE-2023-4474
Zyxel NAS 裝置中 WSGI 伺服器中特殊元素的不正確中和可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
哪些版本容易受到攻擊—您應該怎麼應對?
經過全面排查,我們確定了處於漏洞支援期內的易受攻擊產品,其韌體修補程式如下表所示。
|
受影響的型號 |
受影響的版本 |
最新修補程式 |
|
NAS326 |
V5.21(AAZF.14)C0 and earlier |
|
|
NAS542 |
V5.21(ABAG.11)C0 and earlier |
修訂記錄
2023 年 11 月30 日:初始版本。
由以下連結連入Zyxel 資料下載頁面,搜尋所需韌體:
https://www.zyxel.com/tw/zh/support/download
或由以下連結連入官方 Zyxel中文論壇 提問與討論:
https://community.zyxel.com/tw
以上,謝謝收看!!
Leave a Reply