Vulnerabilità AirOS !!!

Prodotti embedded (RouterStation, Routerstation Pro, Litestation, MiniStation) e Mini-PCI (XR & SR Series)

Vulnerabilità AirOS !!!

Messaggiodi thema3x » 20 marzo 2017, 21:01

Ciao,

come volevasi dimostrare, troppi aggiornamenti firmware = PROBLEMI !

E' stata scoperta un' altra vulnerabilità su AirOS, qui il bollettino ufficiale:

Addressing Security Concerns

We take network security very seriously and have fixed the authenticated command injection vulnerability for all affected products: airMAX®, airGateway®, TOUGHSwitch™, and airFiber®; please upgrade the firmware for your devices. UniFi®, EdgeMAX®, and AmpliFi™ products are not affected.

While we acknowledge that all vulnerabilities are serious, we believe this issue rates fairly low in terms of threat severity, because it requires being authenticated to the management web interface, or tricking an authenticated administrator into opening a targeted, crafted URL in the browser where they are logged in to the affected device. Ubiquiti strongly backs our security measures:

Dedicated Security Director focused 100% on Ubiquiti® software vulnerabilities and supported by a strong group of engineers

Participation in third-party vulnerability assessment programs such as HackerOne, where we have given out substantial rewards

Significant investment retaining third-party external security audit company to review our software solutions frequently

We’re currently addressing the php2 code concern, which will be eliminated from applicable code bases within the next few weeks.

Ubiquiti has updated the firmware for the affected devices. Please update the firmware of your devices to the version listed here:

DEVICES USE FIRMWARE
Airmax M v6.0.1 or later
Airmax AC v8.0.1 or later
Tough Switch v1.3.4 or later
Airgateway v1.1.8 or later
Airfiber v3.2.2 or later
Airfiber X v3.2.2 or later
Airfiber 4X v3.4.1 or later
Airfiber 11X v3.6.1 or later

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Vulnerabilità AirOS !!!

Messaggiodi drego85 » 20 marzo 2017, 23:23

Piccolo OT, non é una vulnerabilità dovuta dai troppi aggiornamenti software. Anzi, é una vulnerabilità da sempre presente nei Firmware UBNT e probabilmente dovuta ad una versione PHP molto datata sfruttata nel web server.

Probabilmente perché ancora non é stata rilasciata la Disclosure integrale, ma solo un PoC pubblicato venerdì scorso assieme ad un video.

Aggiornate :) io ho perso la possibilità di battere il precedente record di Uptime! Toccherà aspettare...

PS Oggi hanno rilasciato la nuova Release Candidate del controller UniFi...preparatevi!
drego85
Expert
 
Messaggi: 498
Iscritto il: 10 dicembre 2010, 23:53

Re: Vulnerabilità AirOS !!!

Messaggiodi thema3x » 21 marzo 2017, 9:27

:l0l: :hide:

Grazie DRE !

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Vulnerabilità AirOS !!!

Messaggiodi napoliru » 13 febbraio 2018, 14:14

Ciao a tutti
napoliru
User
 
Messaggi: 1
Iscritto il: 12 febbraio 2018, 14:56
Località: Napoli

Re: Vulnerabilità AirOS !!!

Messaggiodi thema3x » 15 febbraio 2018, 19:01

Magari per i saluti facciamo un nuovo post nell' apposita sezione ...

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia


Torna a Embedded System & Mini-PCI

Chi c’è in linea

Visitano il forum: Nessuno

cron