Netgear修复路由器和交换机中的RCE缺陷

Netgear公司最近通知消费者称为一些路由器和交换机发布了固件更新，解决远程代码执行以及其它类型的漏洞问题。

Netgear在今年1月份初宣布推出漏洞奖励计划，并一直都在例行发布安全公告及通知。Netgear为负责任的漏洞披露行为奖励150美元至1.5万美元不等的奖励，声称已奖励了150多份漏洞报告。

在最近的安全公告中，Netgear公司指出一个缓冲溢出漏洞CVE-2017-6862能倍远程攻击者利用绕过验证并执行任意命令。这个漏洞是由ON-X公司的Maxime Peterlin发现的，它影响WNR2000v3、WNR2000v4、WNR2005v5和R2000路由器。修复这个漏洞的固件更新可应用于所有受影响的机型。

Netgear指出，这个漏洞可被拥有访问托管设备网络权限的远程攻击者利用，或者如果路由器启用了远程管理功能（默认禁用）则可被利用。

Netgear在另外的安全公告中说明了一个影响公司智能管理交换机的漏洞。该漏洞允许未经验证的攻击者访问一个调试URL并执行任意命令，包括重新设置或者重启交换机。如果交换机可远程访问则可遭远程攻击，不过Netgear认为大部分用户都应该设置了阻止此类利用的防火墙。这个漏洞影响约30种交换机机型，包括FS、GS、M、S以及XS。修复这个漏洞的固件更新可用于多数受影响设备。

另外一则安全公告则告警用户注意影响CM700高速有线调制解调器的漏洞。这个问题并未对数据带来任何风险，但它会让攻击者中断目标用户的网络连接。目前尚不存在权变措施或补丁。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。