Lancom і BSI повідомляють про помилку конфігурації операційної системи LCOS: уразливість зі значенням CVSS 6.8 може дозволити отримання прав адміністратора. Доступне оновлення.
Повідомлення на веб-сайті Lancom і на веб-сайті BSI не повністю відповідають вимогам. Обидва повідомляють про вразливість, починаючи з версії LCOS 10.80 RU1, але хоча Lancom не бачить небезпеки: «Неавторизований доступ до маршрутизатора через глобальну мережу (Інтернет) неможливий через цю прогалину в безпеці», BSI використовує примітку в своєму заголовку: « Уразливість дозволяє отримати права адміністратора».
Пароль root перезаписується порожнім
Очевидно, хтось із користувачів повідомив Lancom, що коли інший користувач із правами адміністратора створюється за допомогою помічника з налаштування Windows, пароль адміністратора root просто видаляється. LCOS зазнає цієї вразливості безпеки, починаючи з версії 10.80 RU1. Нижчі версії LCOS або інші операційні системи LANCOM не впливають. Поведінку виправлено у LCOS версії 10.80 SU4.
Lancom також повідомляє: у публічних сценаріях з окремою гостьовою мережею доступ до точок доступу з гостьової мережі неможливий через використання VLAN або тунелю WLC, і, таким чином, загроза виключається. LANCOM Systems наполегливо рекомендує встановити LCOS з виправленням помилок версії 10.80 SU4.
Більше на Lancom-Systems.de
Про LANCOM Systems LANCOM Systems GmbH є провідним європейським виробником мережевих і безпекових рішень для бізнесу та адміністрування. Портфоліо включає апаратне забезпечення (WAN, LAN, WLAN, брандмауери), компоненти віртуальної мережі та хмарні програмно-визначені мережі (SDN). Розробка та виробництво програмного та апаратного забезпечення відбувається переважно в Німеччині, як і хостинг для управління мережею. Особлива увага приділяється надійності та безпеці. Компанія прагне гарантувати, що її продукти є вільними від бекдорів і мають знак якості «ІТ-безпека зроблено в Німеччині», ініційований Федеральним міністерством економіки.