中国台湾芯片厂商Realtek 发布安全公告称在其软件开拓套件和WiFi模块中创造了4个安全漏洞,影响超过65个厂商的200款IoT设备。
这4个漏洞分别是:
◼CVE-2021-35392:由于SSDP NOTIFY的不屈安布局引发的WiFi Simple Config 做事器中的堆缓存溢出漏洞,CVSS评分8.1分。
◼CVE-2021-35393:由于对UPnP SUBSCRIBE/UNSUBSCRIBE Callback header的不屈安处理引发的WiFi Simple Config 做事器的堆缓存溢出漏洞,CVSS评分8.1分。
◼CVE-2021-35394:'UDPServer' MP工具中的多缓存溢出漏洞和任意命令注入漏洞,CVSS评分9.8分。
◼CVE-2021-35395:由于部分过长参数的不屈安复制引发的HTTP web做事器boa中的缓存溢出漏洞,CVSS评分9.8分。
攻击者利用这些漏洞可以完备黑掉目标设备并以最高权限实行任意代码。
漏洞影响Realtek SDK的以下版本:
◼Realtek SDK v2.x;
◼Realtek "Jungle" SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT;
◼Realtek "Luna" SDK 1.3.2。
影响的设备紧张是实现无线功能的设备,包括网关、路由器、WiFi无线中继器、IP摄像头等。影响的品牌包括AIgital、ASUSTek、Beeline、Belkin、Buffalo、D-Link、Edimax、Huawei、LG、Logitec、MT-Link、Netis、Netgear、Occtel、PATECH、TCL、Sitecom、ZTE、Zyxel以及 Realtek自有路由器。
研究职员通过UPnP相应得到了198个不同的设备指纹,如果假定每个设备均匀发卖5000台,那么受影响的设备数量约100万。
末了
我网络了一些资料与干系的工具,有须要的朋友可以关注私信我哦!
!
!
