产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

锐捷网络关于部分防火墙与内容审计产品存在任意文件下载漏洞的通告

发布时间:2021-06-30
最新更新时间:2021-06-30

近日,锐捷网络针对自身产品进行安全检查时,发现早期生产的部分防火墙产品、上网行为管理与审计系统存在任意文件下载漏洞,可在未经授权的情况下查看文件信息,详细情况如下: 

一、漏洞说明

RG-WALL 1600系列下一代防火墙早期产品、RG-UAC6000系列统一上网行为管理与审计系统早期产品,在WEB管理页面代码中存在参数过滤不严谨的问题,存在任意文件查看的风险。

二、影响范围

涉及产品型号与软件版本:

产品型号

软件版本

RG-WALL 1600-CC

RG-WALL-V5.2-R2.1P5-20160314

RG-WALL 1600-ST

RG-WALL 1600-EM

RG-WALL 1600-XS

RG-WALL 1600-XDC

RG-UA C6000-SI

RG-UAC-V1.0-R2.1T5-20160809

RG-UAC 6000-EI

RG-UAC 6000-EA

RG-UAC 6000-XI

RG-UAC 6000-XA

 

三、漏洞定级

该风险仅在设备WEB页面可访问的条件下发生。若HTTP/HTTPS登录访问被阻止,则不存在该风险。
按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南》定义,此漏洞等级为“低危”。即:可远程操作、利用方式复杂,不易形成大规模攻击。

四、漏洞规避方案

1、在外网以及其他不需要进行WEB管理的接口上,取消HTTP/HTTPS管理方式(如下图,将红框内的管理权限取消勾选):

2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置): 

五、漏洞解决方案

该系列产品已停产,且当前时间已超过“软件版本维护终止日期”,建议参考规避方案处理,或购买新款下一代防火墙产品及上网行为管理与审计系统。

六、后续改善计划

锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:

锐捷售前咨询热线:4006-208-818

锐捷售后咨询热线:4008-111-000

锐捷睿易咨询热线:4001-000-078

锐捷网络官网:www.ruijie.com.cn

附录:

相关产品停止服务公告链接:

产品型号

停止服务公告

RG-WALL 1600-CC

http://www.ruijie.com.cn/fw/xw/85967/

RG-WALL 1600-ST

http://www.ruijie.com.cn/fw/xw/84846/

RG-WALL 1600-EM

http://www.ruijie.com.cn/fw/xw/84843/

RG-WALL 1600-XS

http://www.ruijie.com.cn/fw/xw/84844/

RG-WALL 1600-XDC

http://www.ruijie.com.cn/fw/xw/84841/

RG-UAC 6000-CC

 

RG-UAC 6000-SI

http://www.ruijie.com.cn/fw/xw/86780/

RG-UAC 6000-EI

http://www.ruijie.com.cn/fw/xw/86779/

RG-UAC 6000-EA

http://www.ruijie.com.cn/fw/xw/86778/

RG-UAC 6000-XI

http://www.ruijie.com.cn/fw/xw/86782/

RG-UAC 6000-XA

http://www.ruijie.com.cn/fw/xw/86781/

 

关注锐捷
关注锐捷官网微信
随时了解公司最新动态

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式