鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020- 5135 | SonicOS缓冲区溢出误差通告

宣布时间 2020-10-15

0x00 误差概述

CVE ID	CVE-2020- 5135	时间	2020-10-15
类型	缓冲区溢出	等级	高危
远程使用	是	影响规模

SonicWall的SSL VPN可以使远程用户清静地毗连和运行公司Windows和Linux系统及网络上的任何应用程序，，，用户可以轻松上传和下载文件、装置网络驱动器以及会见资源等。。。。。。SonicWall网络清静装备NSA具有SSL VPN拨号功效，，，可以通过SSL VPN客户端Nextender远程会见公司或内部网络。。。。。。

0x01 误差详情

2020年10月12日，，，SonicWall宣布清静通告，，，SonicWall NSA用于产品治理和SSL VPN远程会见的HTTP/HTTPS效劳中保存一个基于客栈的缓冲区溢出误差，，，误差跟踪为CVE-2020-5135。。。。。。攻击者可以通过使用此误差向防火墙发送恶意请求导致拒绝效劳（DoS）并执行恣意代码。。。。。。

乐成使用此误差的攻击者可阻止用户毗连到公司资源，，，并导致装备瓦解等。。。。。。阻止现在，，，Shodan搜索到受影响的HTTP效劳器主机为818，，，694台。。。。。。

误差影响规模：

SonicOS 6.5.4.7-79n及更早版本

SonicOS 6.5.1.11-4n及更早版本

SonicOS 6.0.5.3-93o及更早版本

SonicOSv 6.5.4.4-44v-21-794及更早版本

SonicOS 7.0.0.0-1

0x02 处置惩罚建议

现在SonicWall已宣布修复版本，，，建议实时升级：

SonicOS 6.5.4.7-83n

SonicOS 6.5.1.12-1n

SonicOS 6.0.5.3-94o

SonicOS 6.5.4.v-21s-987

第7代7.0.0.0-2及更高版本

链接地点：

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2020-0010

暂时步伐：

在应用修补程序之前，，，可以暂时将SSL VPN与Internet断开毗连。。。。。。

0x03 参考链接

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2020-0010

https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/

https://threatpost.com/critical-sonicwall-vpn-bug/160108/

0x04 时间线

2020-10-12 SonicWall首次宣布清静通告

2020-10-15 SonicWall宣布更新修订

2020-10-15 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】