工厂研学 丨 锐捷网络数字化智能工厂“黑科技”大揭秘
预约直播
乐享业务保障服务 丨 守护医疗业务连续稳定
预约直播
产品
< 返回主菜单
产品中心
产品
解决方案
< 返回主菜单
解决方案中心
行业
返回主菜单
选择区域/语言

锐捷网络关于部分防火墙与内容审计产品存在任意文件下载漏洞的通告

发布时间:2021-06-30
最新更新时间:2021-06-30

近日,锐捷网络针对自身产品进行安全检查时,发现早期生产的部分防火墙产品、上网行为管理与审计系统存在任意文件下载漏洞,可在未经授权的情况下查看文件信息,详细情况如下: 

一、漏洞说明

RG-WALL 1600系列下一代防火墙早期产品、RG-UAC6000系列统一上网行为管理与审计系统早期产品,在WEB管理页面代码中存在参数过滤不严谨的问题,存在任意文件查看的风险。

二、影响范围

涉及产品型号与软件版本:

产品型号

软件版本

RG-WALL 1600-CC

RG-WALL-V5.2-R2.1P5-20160314

RG-WALL 1600-ST

RG-WALL 1600-EM

RG-WALL 1600-XS

RG-WALL 1600-XDC

RG-UA C6000-SI

RG-UAC-V1.0-R2.1T5-20160809

RG-UAC 6000-EI

RG-UAC 6000-EA

RG-UAC 6000-XI

RG-UAC 6000-XA

 

三、漏洞定级

该风险仅在设备WEB页面可访问的条件下发生。若HTTP/HTTPS登录访问被阻止,则不存在该风险。
按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南》定义,此漏洞等级为“低危”。即:可远程操作、利用方式复杂,不易形成大规模攻击。

四、漏洞规避方案

1、在外网以及其他不需要进行WEB管理的接口上,取消HTTP/HTTPS管理方式(如下图,将红框内的管理权限取消勾选):

2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置): 

五、漏洞解决方案

该系列产品已停产,且当前时间已超过“软件版本维护终止日期”,建议参考规避方案处理,或购买新款下一代防火墙产品及上网行为管理与审计系统。

六、后续改善计划

锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:

锐捷售前咨询热线:4006-208-818

锐捷售后咨询热线:4008-111-000

锐捷睿易咨询热线:4001-000-078

锐捷网络官网:www.ruijie.com.cn

附录:

相关产品停止服务公告链接:

产品型号

停止服务公告

RG-WALL 1600-CC

http://www.ruijie.com.cn/fw/xw/85967/

RG-WALL 1600-ST

http://www.ruijie.com.cn/fw/xw/84846/

RG-WALL 1600-EM

http://www.ruijie.com.cn/fw/xw/84843/

RG-WALL 1600-XS

http://www.ruijie.com.cn/fw/xw/84844/

RG-WALL 1600-XDC

http://www.ruijie.com.cn/fw/xw/84841/

RG-UAC 6000-CC

 

RG-UAC 6000-SI

http://www.ruijie.com.cn/fw/xw/86780/

RG-UAC 6000-EI

http://www.ruijie.com.cn/fw/xw/86779/

RG-UAC 6000-EA

http://www.ruijie.com.cn/fw/xw/86778/

RG-UAC 6000-XI

http://www.ruijie.com.cn/fw/xw/86782/

RG-UAC 6000-XA

http://www.ruijie.com.cn/fw/xw/86781/

 

关注锐捷
关注锐捷官网微信
随时了解公司最新动态

返回顶部

收起
文档评价
该资料是否解决了您的问题?
您对当前页面的满意度如何?
不咋滴
非常好
您满意的原因是(多选)?
您不满意的原因是(多选)?
您是否还有其他问题或建议?
为了快速解决并回复您的问题,您可以留下联系方式
邮箱
手机号
感谢您的反馈!
请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式