自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

TN-5900 系列存在多个 OpenSSL 漏洞

TN-5900 系列存在多个 OpenSSL 漏洞,包括 CVE-2022-4304、CVE-2023-0215 和 CVE-2023-0286。这些漏洞带来了重大安全风险,例如,利用时序侧信道攻击进行明文恢复,内存管理不当导致内存损坏,类型混淆漏洞可能引发未经授权的内存访问或拒绝服务攻击。


确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1

可观察到的差异 (CWE-203)  

CVE-2022-4304

攻击者通过截取足够多的信息,可恢复原始连接的预主密钥,从而解密通过该连接传输的应用数据。

2

释放后使用 (CWE-416)  

CVE-2023-0215

如果调用者对 BIO 对象执行 BIO_pop() 操作,将触发释放后重用问题。这极有可能引发系统崩溃。

3

使用不兼容类型访问资源(“类型混淆”)(CWE-843)  

CVE-2023-0286

攻击者可抓住这一漏洞,将任意指针传递给 memcmp 调用,进而读取内存内容或发起拒绝服务。

漏洞评分信息

ID
基础得分
漏洞载体
严重程度

是否无需身份验证即可远程利用漏洞

CVE-2022-4304

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

中等
CVE-2023-0215

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVE-2023-0286

7.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

受影响产品与解决方案

受影响的产品

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
TN-5900 系列 固件版本 3.4 及更早版本
TN-G4500 系列 固件版本 5.3 及更早版本
TN-G6500 系列 固件版本 5.4 及更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
TN-5900 系列 升级至固件版本 4.0
TN-G4500 系列 升级至固件版本 5.5
TN-G6500 系列 升级至固件版本 5.5

 

防护措施:

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 需要远程访问时,请使用安全方式,例如虚拟专用网络 (VPN)。
  • 部署入侵检测系统 (IDS) 或入侵防御系统 (IPS),检测并阻止利用漏洞的行为。这些系统可通过监测网络流量及时发现攻击迹象,增强防御保护。

不受上述漏洞影响的产品:

只有此公告“受影响的产品”部分中列出的产品会受到这些漏洞的影响。Moxa 已确认此漏洞不会影响以下产品:

  • TN-4900 系列
  • TN-4500A 系列、TN-5500A 系列

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2024 年 10 月 4 日
1.1 将 TN-G4500 系列和 TN-G6500 系列加入“受影响产品”和“解决方案”部分 2025 年 1 月 6 日

相关产品

TN-5900 系列 · TN-G4500 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹