銳捷網絡關于出口網關設備部分型號10.x版本存在XSS漏洞的通告
發布時間: 2018-09-26

 

近日,某網絡安全單位報告銳捷部分網關產品存在XSS漏洞(又稱之為跨站腳本漏洞),目前,銳捷網絡已經對其它產品線進行安全自查,截至目前,暫未發現此漏洞。詳細情況如下:

一、影響范圍

目前僅網關產品的10.x版本存在此問題,11.x版本未發現此問題,請放心使用。

涉及產品如下:

EG系列:RG-EG1000C、RG-EG1000M、RG-EG1000S、RG-EG1000L、RG-EG1000CM

NPE系列:RG-NPE50E、RG-NPE60E

NBR系列:RG-NBR1000G、RG-NBR1300G、RG-NBR1500G、RG-NBR2000G、RG-NBR2000D

 

二、漏洞說明

上述型號的登錄首頁,被檢測出存在XSS(跨站腳本攻擊)漏洞。

該問題是指攻擊者通過劫持用戶訪問web的會話,偽造用戶請求,向設備發起帶有惡意攻擊腳本的請求,若設備未能正確過濾惡意執行的嵌入腳本,可能會導致惡意腳本在訪問設備web界面的終端上被執行,從而產生腳本攻擊。

當設備被攻擊者攻擊后,我司服務器在特殊情況下會將攻擊者的注入腳本代碼返回給正在使用web的管理員,這樣有可能會使用戶終端執行惡意腳本。

 

三、漏洞影響面與等級

此漏洞對我司設備本身無影響,我司產品是高度定制化產品,內部有多層邏輯不會執行腳本攻擊。并且不會發生攻擊者劫持用戶會話的可能。因此設備本身不存在被攻擊的風險。

 

四、漏洞等級

按照《GBT 30279-2013 信息安全技術 安全漏洞等級劃分指南.pdf》定義,此漏洞等級為“低危”。

既:可遠程操作、利用方式簡單、對客戶設備和網絡無影響、僅可能影響遠程訪問此設備的網絡管理員。

漏洞修補方案:升級RGOS 10.3(4b11)p5T11

銳捷官網可獲取此版本:http://www.duhvzv.live/fw/rj/

 

五、后續改善計劃

本著對客戶負責的態度,建議廣大用戶采納官網下載主程序的方式進行漏洞修復,同時,請您關注銳捷網絡的官網的公告內容,有任何關于此次漏洞修復的問題,可以通過以下方式聯系我們:

 

銳捷網絡售后熱線:4008-111-000

銳捷睿易售后熱線:4001-000-078

銳捷網絡官網:www.duhvzv.live

 

銳捷網絡高度重視并珍惜客戶的信任,并將通過不斷的自我完善,繼續為各行業客戶帶來高品質的產品和服務。

 

 

 

銳捷網絡股份有限公司

2018年9月26日

体彩陕西十一选五