国产精品导航一区二区丨动漫成人无码精品一区二区三区丨久久国内精品自在自线波多野结氏丨久久久久久久久久久网站丨亚洲日韩乱码中文无码蜜桃臀网站丨午夜成人无码福利免费视频丨最新中文乱码字字幕在线丨夜夜骑夜夜操丨久久久久久久久久久av丨女人久久丨日本乱偷互换人妻中文字幕丨日本猛少妇色xxxxx猛交图片丨亚洲欧洲精品成人丨国产人成高清在线视频99最全资源丨91文字幕巨乱亚洲香蕉丨日本欧美视频在线观看丨三级黄毛片丨114一级片丨成人免费午夜福利片在线观看丨国产主播福利在线丨黄色的一级片丨久久99国产精品女同丨三区四区丨久久精品视频一区二区三区丨日韩一区二区三区在线视频

安全公告編號:CNTA-2017-0059

近日，國家信息安全漏洞共享平臺（CNVD）收錄了D-Link DIR系列路由器身份驗證信息泄露漏洞和遠程命令執行漏洞（CNVD-2017-20002、CNVD-2017-20001）。遠程攻擊者利用漏洞可獲取路由器后臺登錄憑證并執行任意代碼。相關利用代碼已在互聯網公開，受到影響的設備數量根據標定超過20萬臺，有可能會誘發大規模的網絡攻擊。

一、漏洞情況分析

D-Link（即友訊網絡）是一家生產網絡硬件和軟件產品的企業，主要產品有交換機、無線產品、寬帶產品、網卡、路由器、網絡攝像機和網絡安全產品(防火墻)等。根據CNVD秘書處分析情況，D-Link DIR系列路由器存在身份驗證繞過漏洞和遠程命令執行漏洞如下所示：

（一）身份驗證信息泄露漏洞：當管理員登錄到設備時會觸發全局變量：$authorized_group > = 1。遠程攻擊者可以使用這個全局變量繞過安全檢查，并使用它來讀取任意文件，獲取管理員賬號密碼等敏感信息。

（二）遠程命令執行漏洞：由于fatlady.php頁面未對加載的文件后綴（默認為XML）進行校驗，遠程攻擊者可利用該缺陷以修改后綴方式直接讀取（DEVICE.ACCOUNT.xml.php）獲得管理員賬號密碼，后續通過觸發設備NTP服務方式注入系統指令，取得設備控制權。

CNVD對上述風險的綜合評級為“高危”。

二、漏洞影響范圍

根據CNVD技術成員單位——北京知道創宇信息技術有限公司驗證情況，受漏洞影響的D-Link 路由器型號不限于官方廠商確認的DIR-850L型號，相關受影響的型號還包括DIR-868L、DIR-600、DIR-860L、DIR-815、DIR-890L、DIR-610L、DIR-822。

根據知道創宇公司普查結果，DIR-815L在互聯網上標定有177989個IP，其他型號數量規模較大的有：DIR-600(31089 臺)、DIR-868L(23963臺)、DIR-860L(6390 臺)、DIR-815(2482 臺)。

三、漏洞修復建議

上述漏洞來源于國外廠商Beyond Security 2017年6月組織的Hack2Win漏洞獎勵競賽，相關漏油已提交D-Link廠商，廠商已經發布了補丁Firmware: 1.14B07 BETA 修復漏洞。CNVD建議相關用戶盡快升級路由器固件。官方補?。?a >http://support.dlink.com/ProductInfo.aspx?m=DIR-850L

臨時解決方案：

針對不能及時升級的路由器固件的用戶，如有必要請及時關閉互聯網上對路由器的管理訪問權限（一般是通過設置廣域網WAN對設備訪問控制策略實現）。

附：參考鏈接：

https://blogs.securiteam.com/index.php/archives/3364

https://www.seebug.org/vuldb/ssvid-96333

http://www.cnvd.org.cn/flaw/show/CNVD-2017-20001

http://www.cnvd.org.cn/flaw/show/CNVD-2017-20002