一、漏洞描述
邁普MP7500E系列産(chǎn)品默認啓動TFTP服務(wù),并監聽TFTP協議知名(míng)端口,導緻TFTP服務(wù)可(kě)以對網絡其他(tā)設備提供本設備文(wén)件系統的操作(zuò)權限,包括 /flash/startup 啓動配置文(wén)件的讀寫等操作(zuò),造成了嚴重安(ān)全漏洞問題。
二、受影響的産(chǎn)品、版本和修複方案
|
産(chǎn)品型号 |
受影響軟件版本 |
修複版本 |
|
路由器MP7500E系列 |
8.1.0.59及以前的版本 、8.1.3.2及以前的版本 |
8.1.0.61 8.1.3.3 |
三、漏洞評分(fēn)和風險等級
漏洞使用(yòng)CVSSv4.0計分(fēn)系統進行評分(fēn),評分(fēn)标準請參考https://www.first.org/cvss/v4.0/specification-document
CVSS4.0基礎得分(fēn):10.0(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L)
風險等級:高危
四、規避措施
1. 方案1:手動關閉TFTP相關服務(wù)。
DUT (config)# tftp disable
注:重啓後會自動恢複TFTP服務(wù),需要手動再次關閉。
2. 方案2:EEP聯動TFTP命令,實現重啓後自動關閉TFTP服務(wù)。
DUT (config)#event platform applet disable-tftp
DUT (config-eep)#event timer countdown 10
DUT (config-eep)#action 1 cli-command tftp disable
DUT (config-eep)#exit
3. 方案3:升級對應産(chǎn)品的漏洞修複版本。
五、漏洞來源
工(gōng)業和信息化部網絡安(ān)全威脅和漏洞信息共享平台(NVDB)
六、更新(xīn)記錄
|
時間 |
更新(xīn)記錄 |
|
2024年7月3 |
首次發布 |
七、聯系我們
有(yǒu)任何關于此次漏洞修複的疑問,可(kě)通過以下方式聯系:
客戶服務(wù)熱線(xiàn):400-886-8669
官方網站:www.maipu.com.cn