※ [本文轉錄自 PC_Shopping 看板 #1P58dGEM ] 作者: hn9480412 (ilinker) 看板: PC_Shopping 標題: [情報] 多款ASUS路由器存在嚴重安全性漏洞 時間: Thu May 11 23:57:00 2017 https://goo.gl/dI7iCd 這個大約上個月就已經提供下載更新 目前統計出來的產品都是RT開頭的網通產品。若不計同樣型號的衍生產品有40種 這幾個路由器存在下列安全性漏洞 CVE-2017-5891 - 管理介面沒有跨站請求偽造(CSRF)保護，導致遠端攻擊者可以透 過此手法進行攻擊並取得路由器最高權限 CVE-2017-5892 - 與上述漏洞類似，但這個是透過JSONP進行攻擊。並會洩漏 外部IP、WebDAV數據等機密資訊 CVE-2017-6547 CVE-2017-6548 CVE-2017-6549 如果在管理頁面網址輸入超過50個字就會觸發此漏洞。遠端攻擊者可以使用跨網站指令碼 (XSS)執行JavaScript進行攻擊 同時還有修正了一個XML函數漏洞 受影響產品清單 RT-AC51U RT-AC52U B1 RT-AC53 RT-AC53U RT-AC55U RT-AC56R RT-AC56S RT-AC56U RT-AC66U RT-AC68U RT-AC68UF RT-AC66R RT-AC66U RT-AC66W RT-AC68W RT-AC68P RT-AC68R RT-AC68U RT-AC87R RT-AC87U RT-AC88U RT-AC1200 RT-AC1750 RT-AC1900P RT-AC3100 RT-AC3200 RT-AC5300 RT-N11P RT-N12 (D1 version only) RT-N12+ RT-N12E RT-N16 RT-N18U RT-N56U RT-N66R RT-N66U (B1 version only) RT-N66W RT-N300 RT-N600 RT-4G-AC55U – [目前無韌體可更新] 如果有使用上述產品以及衍生型號，EX:RT-AC66U_B1(RT-AC66U+)的請從路由器設定或是 從官網下載v3.0.0.4.380.7378版本韌體 如果已經安裝的韌體版本是v3.0.0.4.380.7378或是以上的話就代表沒有問題 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1494518224.A.396.html ※ 編輯: hn9480412 (122.116.4.227), 05/11/2017 23:57:48 ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: hn9480412 (122.116.4.227), 05/11/2017 23:59:53