Netgear NMS300网络管理系统中发现的严重缺陷
技术公司敦促进一步改进窥探者的宪章
沃尔沃测试在伦敦的自驾车
Verizon让SMBS在分期付款计划上购买智能手机
HPE报告奠定了网络刑事经济的裸机
移动世界大会的最热项目将不会出售
CCS技术产品框架专注于质量,而不是成本
动员劳动力推动绩效和生产力
公共云上升升起,但欧洲仍然落后于美国
微软的曲面手机肯定会来,但不太可能在MWC
Fortiguard SSH后门在更多的堡垒安全设备中找到
Microsoft将不支持许多没有Windows 10的Skylake PC
ViaSAT为欧洲空间机构连接卫星开发计划
Windows Live Mail WOES继续重新发布KB 3093594
安全研究人员警告服务器攻击赎金软件
学习的内存可以帮助明天的智能电脑
QA在伦敦推出网络攻击防御培训设施
谷歌在Chrome 49中提升压缩性能
安全合作密钥,说BFA-Bankia Ciso
钥匙执行将挣扎着奋斗
X-IO利用NVME开发超快速的Axellio闪存存储
Activist Lauri Love Faces命令透露加密密钥
戴尔的OS10旨在打开网络,然后是整个数据中心
Mingis关于Tech:无人机上升,底特律在移动 - 到硅谷
网络安全违规行为的三分之二英国企业,但董事仍未意识到
DARPA资助计划,因此电脑可以读取思想
是的,这就是Twitter如何拯救湮灭
CIO采访:Martin Uudelepp,Fonus Group
Centrica部署大规模Hortonworks集群以提高业务
三分之二的农民不需要使用“默认数字”农村支付系统
Apple报告记录Q1收入为75.9亿美元,但iPhone销量变平
Facebook建立了“体育体育场”以拉动足球迷
感谢Tech,商店正在发展到陈列室
SAINSBURY在出价上推出了技术技能的软件开发学徒
英特尔正试图削减对PC的依赖
AMD在2016年底之前首先推到高端台式机的Zen芯片
Lenovo在文件共享实用程序中修复了硬编码密码
谷歌表示,它在2015年造成780米的“糟糕广告”
IBM All-Flash系列获取云和企业A9000和A9000R
Portacabin的IT部门如何支持英国最大的关键基础设施项目
联邦贸易专员说,让我们看看我们的设备运行的代码
Hadoop峰会2016年:Motion中的数据管理Hortonworks路线图
AWS 10:云巨人如何震撼企业
预算:Osborne承诺为ONS数据科学枢纽获得10米
有企业软件吗?你可能是由于审计
VMware将800个作业从旧的“Blockbuster”计算产品中转换
丹麦出租车司机在启动事件时抗议优步
谷歌街头视图在山顶(所有雪覆盖)
乌克兰电力公司正在遭受更多的网络攻击
谷歌为管理员提供更多控制共享应用程序文件
您的位置:首页 >科技 > 物联科技 >

Netgear NMS300网络管理系统中发现的严重缺陷

2021-06-13 11:44:15 [来源]:
Pixabay.

#drr-container p.large.video {边框底:0无; p#page-lede.thm-gallery #bcplayer-galler#bcplayer-gallery_ad> p {width:100%;高度:100%;转换:所有0.5s轻松;}。jwplayer.jw-natus-paused .jw-display {显示:表!重要;填充:0;}。jwplayer .jw-display-icon-container {float:none;填充:0;利润:0;}。JW-FLAG-SMALL-PLAYER .JW-DISPLAY {Padding-Top:0px;}。jwplayer .jw-display-icon-container .jw-icon-rewind {可见性:隐藏;隐藏;}。jwplayer .jw-display-icon-container .jw-icon-next {可见性:隐藏;隐藏;}。jwplayer。 JW-Display-icon-container .jw-icon-display .jw-svg-icon-play路径,.jw-state-idle .jw-svg-icon-play path,.jwplayer .jw-display-icon-container。 JW-icon-display .jw-svg-icon-replay路径,.jw-state-complete .jw-svg-icon-replay路径{display:none; jwplayer .jw-display-icon-container .jw-icon -display .jw-svg-icon-play,.jw-state-idle .jw-svg-icon-play,.jwplayer .jw-display-icon-container .jw-icon-display .jw-svg-icon-replay ,.jw-state-complete .jw-svg-icon-replay {背景大小:包含;背景 - 重复:无重复;背景颜色:透明;背景 - 图片:URL(// idge.staticworld.net/idgtv/btn-play-default.svg);背景位置:中心中心;底部:0;边界半径:0;盒子阴影:没有;剩下:0;保证金:汽车;正确的:0;最佳:0;}。jwplayer .jw-display-icon-container .jw-icon,.jwplayer .jw-display-icon-container .jw-icon-display .jw-svg-icon-play,.jw-state-idle。 jw-svg-icon-play,.jwplayer .jw-display-icon-container .jw-icon-display .jw-svg-icon-replay,.jw-state-complete .jw-svg-icon-replay {height:81px;宽度:78px;}

NETGEAR NMS300 PROFAFE网络管理系统中的严重漏洞,用于发现,监控和突出各种网络设备的应用程序,可以让黑客控制运行的服务器。

NMS300可以安装在Windows XP,7,8,10以及Windows Server 2003,2008和2012上。它允许网络管理员集中管理网络交换机,路由器,无线接入点,打印机,网络附加的存储系统,防火墙设备和支持SNMP(简单网络管理协议)的设备。

该软件可免费管理多达200个设备,并提供可远程访问的易于使用的Web图形界面。

Pedro Ribeiro是一名基于U.K.的安全咨询敏捷信息安全性的研究员,发现NetGear NMS300的Web界面允许未经身份验证的用户上载,然后执行任意Java文件。由于NMS300软件在底层操作系统上的系统帐户下运行,因此将使用系统权限执行Rogue Java代码。

Ribeiro还发现了第二种漏洞,允许攻击者强制使用NMS300应用程序从基础服务器加载任何文件,然后使其可用于在可预测的位置下载。这意味着攻击者可以从服务器读取任何敏感文件。

Ribeiro通过Carnegie Mellon University的Cert协调中心向Netgear报告了这些问题,周三发布了一份关于他们的咨询。最新的NMS300软件版本1.5.0.11受到影响,目前没有从NETGEAR提供的补丁。

CERT / CC建议管理员实施防火墙规则以限制对应用程序的Web界面的访问。将避免将NMS300暴露于互联网或不受信任的本地网络,Ribeiro在发送到完整披露邮件列表的电子邮件中表示。

这些漏洞的含义可能非常严重,因为根据其官方规范,NMS300系统可以修改受管设备的配置,甚至可以自动安装它们的固件更新。这意味着损害NMS300应用程序的攻击者也可能会损害其管理的一些设备或通过修改其配置来打开网络中的附加孔。

接下来阅读这21个最佳免费安全工具11顶级云安全威胁7忽略了网络安全成本,可以破坏您的预算8视频聊天应用程序:哪个最适合安全?Windows网络安全的4个支柱避免了数据泄露报告中的障碍和陷阱:Cisos需要知道什么Cisos必须是业务的学生
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。