漏洞关键信息 漏洞概述 漏洞标题: GE Multilink Switch Vulnerabilities (Update A) 公告编号: ICSA-15-013-04A 最新修订日期: 2015年8月4日 影响的产品 受影响版本: - GE Multilink ML800/1200/1600/2400系列,版本4.2.1及更早。 - GE Multilink ML810/3000/3100系列,版本5.2.0及更早。 影响 资源消耗: 通过特别制作的包,设备可以在其资源耗尽之前被迫性能下降。 硬编码密钥: 从固件中可以获取用于解密SSL流量的RSA私钥,允许恶意用户解密流量。 跨站脚本: 允许用户在Web界面内的特定页面中注入任意Web内容。此漏洞允许恶意用户向Web界面响应页面发送其他用户,并可能包含恶意脚本或内容。 漏洞特点 资源消耗 (CWE-400): 无控制资源消耗,CVSS v2的5.0分数。 硬编码密钥 (CWE-321): 使用硬编码的加密密钥,CVSS v2的10.0分数。 跨站脚本 (CWE-79): web页面生成期间输入的不当中立化("跨站脚本"),CVSS v2的6.8分数。 开发 可开发性: 虚拟开发可用。 公共开发的存在: 未知具体目标这些漏洞的公共开发。 难度: 具有低技能的攻击者将能够利用这些漏洞。 减轻措施 固件更新: GE建议客户更新交换机固件以解决这些问题。最新固件是ML800、ML1200、ML1600和ML2400的版本5.3.3,ML810、ML3000和ML3100的版本5.3.2-3K。 其他防御性措施: 访问控制、网络隔离、安全更新等建议。 厂商 厂商: GE