锐捷网络关于RSR路由器设备部分型号存在命令执行漏洞的通告

发布时间：2021-04-14

最新更新时间：2021-04-14

近日，某网络安全单位报告锐捷网络RSR路由器系列产品，Web管理存在未授权的情况下执行CLI命令的漏洞（CNVD-2021-16887），攻击者可利用该漏洞获取服务器控制权限，详细情况如下：

一、漏洞说明

Web管理存在未授权的情况下执行CLI命令的漏洞，攻击者可利用该漏洞获取服务器控制权限。

二、影响范围

涉及产品型号、软件版本：

产品型号	软件版本	说明
RSR10-02E/RSR20-04E	10.4(3b35)p6 Release(224254) 及之前的版本	在问题软件版本基础上，若符合以下情况，则不会触发该漏洞： . 设备未开启WEB功能 . 用户没有在web管理中进行权限管理相关操作
RSR20-14E/F	10.4(3b34)p5 Release(224254) 及之前的版本
RSR820-T(A)	10.4(3b64)p13Release(225021) 及之前的版本
RSR10-01G-T/RSR10-01G-T(A)
RSR10-01G-T(W)/RSR10-01G-T(WA)
RSR10-X-07	10.4(3b94)p1Release(219540)及之前的版本
RSR20-X-28	10.4(3b84)Release(219972) 及之前的版本
RSR20-X-52	10.4(3b89)Release(222475) 及之前的版本
RSR30-X-SPU10	10.4(3b90), Release(222488)及之前的版本
RSR30-X-SPU10 V1.5	10.4(3b76)p4Release(218992)及之前的版本

三、漏洞定级

按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南.pdf》定义，此漏洞等级为“高危”。

四、漏洞规避方案

规避方案1：关闭Web服务，通过Telnet或Console在config模式下敲入“no enable service web-server all”进行关闭

规避方案2：通过Web升级系统固件“*.bin”文件，重启解决

五、漏洞解决方案

产品型号	解决版本
RSR10-02E/RSR20-04E	RSR10-02E/RSR20-04E 10.4(3b35)p6_R230644 最新推荐版本下载链接： https://www.ruijie.com.cn/fw/rj/57429/
RSR20-14E/F	10.4(3b34)p6 Release230542 最新推荐版本下载链接： RSR20-14E路由器：http://www.ruijie.com.cn/fw/rj/57432/ RSR20-14F路由器：http://www.ruijie.com.cn/fw/rj/57434/
RSR10-X-07	10.4(3b94)p2Release(222892) 最新推荐版本下载链接：
RSR20-X-28	10.4(3b114)Release(225062) 最新推荐版本下载链接：
RSR20-X-52	10.4(3b114)Release(225062) 最新推荐版本下载链接：
RSR30-X-SPU10	待发布,先用规避方案
RSR30-X-spu10 V1.5	10.4(3b109)Release(225936) 最新推荐版本下载链接： https://www.ruijie.com.cn/fw/rj/83121/
RSR820-T(A)	10.4(3b116)及其以后版本，最新推荐版本下载链接：http://www.ruijie.com.cn/fw/rj/83159/
RSR10-01G-T/RSR10-01G-T(A)	10.4(3b116)及其以后版本，最新推荐版本下载链接：http://www.ruijie.com.cn/fw/rj/57426/
RSR10-01G-T(W)/RSR10-01G-T(WA)	待发布