交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
制造业
医疗卫生
交通
公共安全
近日,锐捷网络针对自身产品进行安全检查时,发现早期生产的部分防火墙产品、上网行为管理与审计系统存在任意文件下载漏洞,可在未经授权的情况下查看文件信息,详细情况如下:
一、漏洞说明
RG-WALL 1600系列下一代防火墙早期产品、RG-UAC6000系列统一上网行为管理与审计系统早期产品,在WEB管理页面代码中存在参数过滤不严谨的问题,存在任意文件查看的风险。
二、影响范围
涉及产品型号与软件版本:
产品型号 |
软件版本 |
RG-WALL 1600-CC |
RG-WALL-V5.2-R2.1P5-20160314 |
RG-WALL 1600-ST |
|
RG-WALL 1600-EM |
|
RG-WALL 1600-XS |
|
RG-WALL 1600-XDC |
|
RG-UA C6000-SI |
RG-UAC-V1.0-R2.1T5-20160809 |
RG-UAC 6000-EI |
|
RG-UAC 6000-EA |
|
RG-UAC 6000-XI |
|
RG-UAC 6000-XA |
三、漏洞定级
该风险仅在设备WEB页面可访问的条件下发生。若HTTP/HTTPS登录访问被阻止,则不存在该风险。
按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南》定义,此漏洞等级为“低危”。即:可远程操作、利用方式复杂,不易形成大规模攻击。
四、漏洞规避方案
1、在外网以及其他不需要进行WEB管理的接口上,取消HTTP/HTTPS管理方式(如下图,将红框内的管理权限取消勾选):
2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置):
五、漏洞解决方案
该系列产品已停产,且当前时间已超过“软件版本维护终止日期”,建议参考规避方案处理,或购买新款下一代防火墙产品及上网行为管理与审计系统。
六、后续改善计划
锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
附录:
相关产品停止服务公告链接:
产品型号 |
停止服务公告 |
RG-WALL 1600-CC |
|
RG-WALL 1600-ST |
|
RG-WALL 1600-EM |
|
RG-WALL 1600-XS |
|
RG-WALL 1600-XDC |
|
RG-UAC 6000-CC |
|
RG-UAC 6000-SI |
|
RG-UAC 6000-EI |
|
RG-UAC 6000-EA |
|
RG-UAC 6000-XI |
|
RG-UAC 6000-XA |