产品支持

安全公告

概述

NPort IAW5000A-I/O 系列串口设备联网服务器漏洞

  • 版本: V1.0
  • 发布日期: 2021年5月27日
  • 参考:
    • BDU:2021-02699, BDU:2021-02700, BDU:2021-02701, BDU:2021-02702, BDU:2021-02703, BDU:2021-02704, BDU:2021-02705,BDU:2021-02706, BDU:2021-02707, BDU:2021-02708

Moxa IAW5000A-I/O 系列串口设备联网服务器中发现一些产品漏洞。为此,Moxa 制定了相关修复方案。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 缓冲区溢出 (CWE-120)
BDU:2021-02699, BDU:2021-02702
内置 Web 服务器如出现缓冲区溢出,攻击者可远程发起 DoS 攻击。
2 堆缓冲区溢出 (CWE-121)
BDU:2021-02700, BDU:2021-02701, BDU:2021-02703, BDU:2021-02704, BDU:2021-02708
内置 Web 服务器如出现缓冲区溢出,攻击者可远程发起 DoS 攻击并执行任意代码 (RCE)。
3 输入验证错误 (CWE-20)
BDU:2021-02705, BDU:2021-02706
内置 Web 服务器的数据无需验证即可被复制,由此攻击者可远程发起 DoS 攻击。
4 OS 命令注入 (CWE-78)
BDU:2021-02707
内置 Web 服务器如出现输入验证错误,攻击者可远程执行 OS 命令。
受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示。

产品系列 受影响的版本
NPort IAW5000A-I/O 系列 固件版本 2.2 或更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
NPort IAW5000A-I/O 系列 请联系 Moxa 技术支持团队,获取安全补丁。

鸣谢:

感谢 Rostelecom-Solar 公司的 Konstantin Kondratev、Evgeniy Druzhinin 和 Ilya Karpov 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

Revision History:

版本 描述 发布日期
1.0 首次发布 2021 年 5 月 27 日

相关产品

NPort IAW5000A-I/O 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹