-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in DrayTek routers
Advisory ID : NCSC-2020-0505
Versie : 1.00
Kans : medium
CVE ID : CVE-2020-14472, CVE-2020-14473
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : medium
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20200624
Toepassing : DrayTek Vigor 2960
DrayTek Vigor 300B
DrayTek Vigor 3900
Versie(s) : < 1.5.1.1
Platform(s) :
Beschrijving
DrayTek heeft meerdere kwetsbaarheden verholpen in de Vigor 2960-,
Vigor 300B- en Vigor 3900-routers. Een kwaadwillende op afstand kan
de kwetsbaarheid mogelijk misbruiken om op deze routers willekeurige
code uit te voeren. Het is onduidelijk of deze code onder
root-rechten wordt uitgevoerd. DrayTek heeft weinig inhoudelijke
informatie publiekelijk beschikbaar gesteld.
Mogelijke oplossingen
DrayTek heeft updates uitgebracht om de kwetsbaarheden te verhelpen
in firmware versie 1.5.1.1. Voor meer informatie, zie:
CVE-2020-14472:
https://www.draytek.com/about/security-advisory/vigor3900-
/-vigor2960-/-vigor300b-remote-code-injection
/execution-vulnerability-(cve-2020-14472)/
CVE-2020-14473
https://www.draytek.com/about/security-advisory/vigor3900-
/-vigor2960-
/-vigor300b-stack-based-buffer-overflow-vulnerability-(cve-2020-1
4473)/
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=RCI2
-----END PGP SIGNATURE-----
