多款ASUS路由器存在嚴重安全性漏洞 - 3C

先前有捧油問梅林版是否受影響，昨天梅林更新380.66才寫進

CVE-2017-5891, CVE-2017-5892, CVE-2017-6547


而CVE-2017-6548, CVE-2017-6549看紀錄是在380.65_2 (10-Mar-2017)就已補上



應該很多人和我一樣拿到機器第一件事就是刷梅林，請記得更新哦。


https://asuswrt.lostrealm.ca/changelog

380.66 (12-May-2017)
- NEW: Merged with GPL 380_7378
Notable changes:
* Port forwards can select a specific source IP
* Security fixes for CVE-2017-5891, CVE-2017-5892
and CVE-2017-6547
Note:
* If you are experiencing new wifi stability
issues, try disabling Airtime Fairness on
the Wireless -> Professional page (on all
bands).




※ 引述《hn9480412 (ilinker)》之銘言：
: https://goo.gl/dI7iCd
: 這個大約上個月就已經提供下載更新
: 目前統計出來的產品都是RT開頭的網通產品。若不計同樣型號的衍生產品有40種
: 這幾個路由器存在下列安全性漏洞
: CVE-2017-5891 - ASUSWRT管理介面沒有跨站請求偽造(CSRF)保護，導致遠端攻擊者可以
: 透過此手法進行攻擊並取得路由器最高權限
: CVE-2017-5892 - 與上述漏洞類似，但這個是透過JSONP進行攻擊。並會洩漏
: 外部IP、WebDAV數據等機密資訊
: CVE-2017-6547
: CVE-2017-6548
: CVE-2017-6549
: 如果在管理頁面網址輸入超過50個字就會觸發此漏洞。遠端攻擊者可以使用跨網站指令碼
: (XSS)執行JavaScript進行攻擊
: 同時還有修正了一個XML函數漏洞
: 受影響產品清單
: RT-AC51U
: RT-AC52U B1
: RT-AC53
: RT-AC53U
: RT-AC55U
: RT-AC56R
: RT-AC56S
: RT-AC56U
: RT-AC66U
: RT-AC68U
: RT-AC68UF
: RT-AC66R
: RT-AC66U
: RT-AC66W
: RT-AC68W
: RT-AC68P
: RT-AC68R
: RT-AC68U
: RT-AC87R
: RT-AC87U
: RT-AC88U
: RT-AC1200
: RT-AC1750
: RT-AC1900P
: RT-AC3100
: RT-AC3200
: RT-AC5300
: RT-N11P
: RT-N12 (D1 version only)
: RT-N12+
: RT-N12E
: RT-N16
: RT-N18U
: RT-N56U
: RT-N66R
: RT-N66U (B1 version only)
: RT-N66W
: RT-N300
: RT-N600
: RT-4G-AC55U – [目前無韌體可更新]
: 如果有使用上述產品以及衍生型號，EX:RT-AC66U_B1(RT-AC66U+)的請從路由器設定或是
: 從官網下載v3.0.0.4.380.7378版本韌體
: 如果已經安裝的韌體版本是v3.0.0.4.380.7378或是以上的話就代表沒有問題

--
標題 [新聞] 馬面未喊「連勝文」 證人：聽錯

--