首页 科技正文

电银付激活码(dianyinzhifu.com):CVSS 10分破绽影响Dell Wyse Thin客户端装备

Sunbet官网 科技 2020-12-24 21:01:45 47 1

克日,CyberMDX 研究人员公开了今年6月在Dell Wyse Thin客户端中发现了2个安全破绽,破绽CVE编号为CVE-2020-29491 和 CVE-2020-29492,这两个破绽CVSS 评分都为10分,破绽影响运行ThinOS v8.6及更低版本的所有装备。攻击者行使这两个破绽可以在受影响的装备上远程运行恶意代码和接见受害者装备上的随便文件。

Dell Wyse Thin Clients

Wyse从90年代最先研发客户端,于2012年被Dell收购。仅在美国仅有约6000家企业和单元使用Dell Wyse thin clients,其中就包罗医疗康健服务提供商。Thin Clients使用的软件很小,旨在提供无缝的远程毗邻体验。Thin clients引入了许多的优势,包罗:

· 无需携带尺度PC或服务器通常需要的高处置、存储和内存资源;

· 简化和集中维护;

· 降低功耗,降低成本。 

· 有破绽的组件

受影响的Dell Wyse客户端运行的是ThinOs 操作系统。ThinOs可以被远程维护,默认是通过内陆FTP 服务器来执行的,装备可以通过内陆FTP服务器取回新固件、包和设置文件数据。虽然也可以远程维护这些客户端,然则这种方式是异常盛行的,也是Dell推荐的维护方式。

破绽概述

Dell 建议使用Microsoft IIS来确立FTP 服务器,然后通过FTP 服务器来接见固件、包和INI文件。FTP 服务器被设置为匿名用户无需凭证。当FTP服务器上的固件和包会被署名,而用于设置的INI 文件不会被署名。

此外,在FTP 服务器上没有特定的INI 文件。由于不需要凭证,以是网络上的任何人都可以接见FTP 服务器,修改thin客户端装备的设置数据——INI文件。

,

Allbet Gmaing开户ALLbet6.com

欢迎进入Allbet Gmaing开户(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

此外,纵然设置了凭证,凭证也可能会在差别的客户端组之间共享,允许相互修改INI设置文件。

当Dell Wyse 装备毗邻到FTP服务器时,会搜索“{username}.ini”形式的INI文件,其中{username}是终端的用户名。

若是INI文件存在,就从中加载设置文件。由于该文件是可见的,以是攻击者就可以确立和编辑该文件来控制特定用户吸收的设置。

Thin clients是一个运行保留在中央服务器上的资源而不是内陆硬盘上的计算机。其事情原理是确立一个服务器的远程毗邻,启动和运行应用,并保留相关的数据。

CVE-2020-29491 和 CVE-2020-29492破绽发生的基本原因是用来获取固件设置的FTP会话和内陆服务器上的设置是没有受到珍爱的,因此位于相同网络内的攻击者就可以读取和修改其设置数据。

CVE-2020-29491破绽使得攻击者可以接见服务器,并读取属于其他客户端的设置ini文件。CVE-2020-29492 破绽是由于不需要FTP凭证,因此网络上的任何人都可以接见FTP服务器,并直接修改保留设置数据的ini文件。

此外,设置文件中可能含有敏感信息,好比密码和账户信息,攻击者行使这些信息可以入侵装备。

修复建议

考虑到破绽是异常容易被行使的,研究人员建议用户尽快安装补丁。此外,研究人员还今已用户移除INI 文件治理特征。若是无法升级,可以禁用FTP来获取文件,使用HTTPS服务器或Wyse治理套件来获取新固件。

更多细节参见:https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability


本文翻译自:https://thehackernews.com/2020/12/two-critical-flaws-cvss-score-10-affect.html
漏洞
版权声明

本文仅代表作者观点,
不代表本站环球UG官网的立场。
本文系作者授权发表,未经许可,不得转载。

发表评论

评论列表(1人评论 , 47人围观)
  • 2021-04-06 00:01:02

    菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。就服你了

标签列表