交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
近日,某网络安全单位报告锐捷交换及无线产品部分版本存在命令执行漏洞。详细情况如下:
一、漏洞说明
锐捷部分交换/无线产品Eweb管理系统存在越权漏洞,普通管理员帐号可利用前端代码越权登入控制台,修改设备登入密码,对设备正常管理造成影响。
二、影响范围
1、涉及软件版本:
• 涉及交换机版本:S29_RGOS11.4(1)B42P1及之前版本
• 涉及无线AC版本:AC_RGOS 11.9(2)B1及之前版本
2、涉及产品型号:
• 涉及交换机型号: S29XS系列产品
• 涉及无线AC型号:M8600E-WS-ED
三、漏洞定级
按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“中”。
四、漏洞解决方案
1、将S29XS系列交换机升级至以下版本解决:
• 升级至S29_RGOS11.4(1)B42P1T1及以后的版本
2、将M8600E-WS-ED无线AC升级至以下版本解决:
• 升级至AC_RGOS 11.9(2)B2及以后的版本;
五、规避方案
删除普通员账号或关闭WEB。
1、关闭WEB命令:no enable service web-server all
2、删除普通管理员帐号,只留admin管理员账号。如删除普通管理员test:no webmaster username test
六、后续改善计划
锐捷网络会持续进行此漏洞的升级修复,第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复,同时,请您关注锐捷网络的官网、官微的公告内容,有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷网络官网:www.ruijie.com.cn
锐捷睿易官网:www.ruijiery.com