自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录
首页 支持 安全公告 EDS-G516E 和 EDS-510E 系列以太网交换机漏洞

产品支持

安全公告

请登录

忘记密码了?
登录
记住密码
非注册用户? 现在注册
概述

EDS-G516E 和 EDS-510E 系列以太网交换机漏洞

  • 安全公告编号: MPSA-190901
  • 版本: V1.0
  • 发布日期: 2019年9月25日

Moxa EDS-G516E 和 EDS-510E 系列以太网交换机中发现一些漏洞。为此,Moxa 制定了相关修复方案。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 基于堆栈的缓冲区溢出 (CWE-121)
  1. 攻击者可能会执行任意代码,或使目标设备停机。
  2. 攻击者可能会使目标设备停机,或执行任意代码。漏洞存在于 Web 设置页面下的 IEEE802.1x 设置。
2 使用已破解或存在风险的加密算法 (CWE-327)
  1. 使用弱加密算法可能会导致机密信息泄露。
  2. 加密函数应用不当可能会导致机密信息泄露。
3 使用硬编码密钥 (CWE-321) 使用硬编码密钥会导致机密数据更容易被恢复。
4 使用硬编码密码 (CWE-798) 恶意用户可能会在未经正当授权的情况下访问系统。
5 未检查输入数据大小的缓冲区复制 (CWE-120)
  1. 利用这一漏洞,攻击者可能会使目标设备停机。Syslog 设置页面的某些参数无法确保文本长度不超出限值。
  2. 利用这一漏洞,攻击者可能会使目标设备停机。DHCP 设置页面的某些参数无法确保文本长度不超出限值。
  3. 利用这一漏洞,攻击者可能会使目标设备停机。PTP 设置页面的某些参数无法确保文本长度不超出限值。
6 明文传输用户信息 (CWE-319) 利用这一漏洞,攻击者可能会拦截明文通讯中的信息。
7 密码安全要求低 (CWE-521) 恶意用户可能会暴力检索信息。
受影响产品与解决方案

受影响的产品

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
EDS-G516E 系列 固件版本 5.2 或更早版本
EDS-510E 系列 固件版本 5.2 或更早版本

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
EDS-G516E 系列

请在此下载最新固件/软件

针对漏洞 2 和 3,Moxa 建议客户在配置文件加密设置中启用配置文件密码,以消除潜在风险。

针对漏洞 6,Moxa 建议客户在管理接口设置中启用 HTTPS

针对漏洞 7,Moxa 建议客户启用帐户登录失败锁定功能,以消除潜在风险。
EDS-510E 系列

针对漏洞 1、4 和 5,请联系 Moxa 技术支持团队寻求帮助。

针对漏洞 2 和 3,Moxa 建议客户在配置文件加密设置中启用配置文件密码,以消除潜在风险。

针对漏洞 6,Moxa 建议客户在管理接口设置中启用 HTTPS。

针对漏洞 7,Moxa 建议客户启用帐户登录失败锁定功能,以消除潜在风险。

 

鸣谢

感谢 Rostelecom-Solar 公司的 Ilya Karpov 先生和 Evgeniy Druzhinin 先生,以及 Positive Technologies 公司的 Georgy Zaytsev 先生向 Moxa 报告漏洞,并与我们一起提高 Moxa 产品的安全性,帮助我们为客户提供更好的服务。

 

修订历史

版本 描述 发布日期
1.0 首次发布 2019 年 9 月 25 日

相关产品

EDS-510E 系列 · EDS-G516E 系列 ·

  •   打印此页

  • 保存
    您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞

请勿共享我的个人信息

若选择不向跨场景行为广告共享个人信息,您可以填写并提交下方的表格。


请注意,即使选择填写表格,您仍有可能在其他网站看到我们的广告,但这些广告有可能与您的兴趣无关。

 
 
添加至收藏夹

查看收藏夹