GenelSiber Güvenlik

Zyxel, EoL NAS Modellerindeki Firmware Açıklarına Yönelik Yamalar Yayınladı

teknomers
teknomers


05 Haziran 2024Haber odasıGüvenlik Açığı / Veri Güvenliği

Zyxel’in sahip olduğu güvenlik güncellemeleri yayınlandı Şu anda kullanım ömrü sonu (EoL) durumuna ulaşmış olan ağa bağlı depolama (NAS) cihazlarından ikisini etkileyen kritik kusurları gidermek için.

Beş güvenlik açığından üçünün başarıyla kullanılması, kimliği doğrulanmamış bir saldırganın, etkilenen kurulumlarda işletim sistemi (OS) komutları ve rastgele kod yürütmesine izin verebilir.

Etkilenen modeller arasında V5.21(AAZF.16)C0 ve önceki sürümlerini çalıştıran NAS326 ile V5.21(ABAG.13)C0 ve önceki sürümlerini çalıştıran NAS542 bulunmaktadır. Eksiklikler sırasıyla V5.21(AAZF.17)C0 ve V5.21(ABAG.14)C0 sürümlerinde giderilmiştir.

Kusurların kısa bir açıklaması aşağıdaki gibidir:

  • CVE-2024-29972 – “remote_help-cgi” CGI programındaki, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi (OS) komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı
  • CVE-2024-29973 – ‘setCookie’ parametresinde, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı
  • CVE-2024-29974 – ‘file_upload-cgi’ CGI programındaki, kimliği doğrulanmamış bir saldırganın hazırlanmış bir yapılandırma dosyası yükleyerek rastgele kod yürütmesine izin verebilecek bir uzaktan kod yürütme güvenlik açığı
  • CVE-2024-29975 – SUID yürütülebilir ikili dosyasında, yönetici ayrıcalıklarına sahip, kimliği doğrulanmış bir yerel saldırganın bazı sistem komutlarını ‘kök’ kullanıcı olarak yürütmesine izin verebilecek uygun olmayan bir ayrıcalık yönetimi güvenlik açığı
  • CVE-2024-29976 – ‘show_allsessions’ komutunda, kimliği doğrulanmış bir saldırganın, oturum açmış bir yöneticinin etkilenen cihazdaki çerezleri içeren oturum bilgilerini ele geçirmesine olanak verebilecek uygunsuz bir ayrıcalık yönetimi güvenlik açığı

Outpost24 güvenlik araştırmacısı Timothy Hjort kredilendirildi beş kusuru keşfetme ve raporlama ile. Kimlik doğrulama gerektiren ayrıcalık yükseltme kusurlarından ikisinin yama yapılmadan kaldığını belirtmekte fayda var.

Sorunlardan yararlanıldığına dair bir kanıt olmasa da, optimum koruma için kullanıcıların en son sürüme güncellemeleri önerilir.



siber-2

Thrustmaster T.Flight HOTAS One Flight Stick incelemesi
Valorant yama notları – 7.01 güncellemesi Premier Ignition Stage için vites yükseltiyor
VexTrio ile ilişkili sahte VPN ve spam engelleyici uygulamalar dolandırıcılıkta kullanılıyor.
Facebook: Meta, “Yaratıcılarına” yeni araçlar sunuyor

OpenAI, Yeni Görüntü Oluşturma Özelliğini API’sine Entegre Etti

ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Gerçek hala çok daha soğuk: Yeni BYD arabaları, belirtilen 2100 km’ye kıyasla 2500 km yol kat ediyor ve beklenenden daha az yakıt tüketiyor
Sonraki Makale Astrofizikçiler Evrenin En Derin Gizemlerini Araştırmak İçin Gezegensel Gücü Serbest Bırakıyor

Sanal Medya

Son Eklenenler

2 Kişilik Hayal, Şimdi Yüksek Teknoloji Yerli Lazer Kesim ve Markalama Makineleri Üretiyor
Genel
1,479 $’lık Alienware oyuna hazır PC, RTX 5070 ve Ultra 7 CPU ile 4K destekli
Donanım
Meta Hindistan’ın CRED Kurucusu Kunal Shah’ı WhatsApp’a Atadı ve 900M Dolar Yatırımda Bulundu
Genel
Krabiyeleri Yönetmek İçin Hazırladığınız Kodlar (Haziran 2026)
Oyun
Kritik Uyarı: 29 Yaşındaki Squid Proxy Hatası HTTP İsteklerini Sızdırıyor
Siber Güvenlik
Apple’ın Yeni AirTag’leri Prime Günü’nde Rekor Fiyatlarla!
Liste