Le 11 avril 2024, nous avons identifié plusieurs vulnérabilités de débordement de mémoire tampon et les avons rapidement traitées avec des améliorations de sécurité critiques. Pour protéger votre système, nous vous recommandons fortement de mettre à niveau le micrologiciel à au moins la version répertoriée. Ces vulnérabilités sont énumérées ci-dessous.
CVE-2024-41334 : Validation du certificat SSL manquante pour les mises à jour de la signature APP Enforcement.
CVE-2024-41335 : Comparaison des mots de passe à temps non constant.
CVE-2024–41336 : Stockage de mot de passe non sécurisé.
CVE-2024–41338 : Déréférencement du pointeur NULL du serveur DHCP.
CVE-2024-41339 : Installation du module noyau non documenté via le point de terminaison de configuration CGI.
CVE-2024–41340 : La mise à jour de la signature APP Enforcement permet l’installation arbitraire du module du noyau.
Les versions du micrologiciel, y compris les corrections des vulnérabilités, ont été publiées vers août-octobre 2024 (selon le modèle), mais nous publions cet avis pour encourager les utilisateurs à vérifier la version du micrologiciel qu’ils utilisent. Veuillez vérifier pour télécharger et mettre à niveau le micrologiciel par modèle dès que possible pour assurer la sécurité de votre système.
Produits concernés
| Modèle | Version du micrologiciel |
|---|---|
| Vigor165 | 4.2.7 ou plus tard |
| Vigor166 | 4.2.7 ou plus tard |
| Vigor2620 LTE | 3.9.8.9 ou plus tard |
| VigorLTE 200n | 3.9.8.9 ou plus tard |
| Vigor2133 | 3.9.9 ou plus tard |
| Vigor2135 | 4.4.5.1 ou plus tard |
| Vigor2762 | 3.9.9 ou plus tard |
| Vigor2765 | 4.4.5.1 ou plus tard |
| Vigor2766 | 4.4.5.1 ou plus tard |
| Vigor2832 | 3.9.9 ou plus tard |
| Vigor2860/2860 LTE | 3.9.8 ou plus tard |
| Vigor2862/2862 LTE | 3.9.9.5 ou plus tard |
| Vigor2865 / 2865 LTE / 2865L-5G | 4.4.5.3 ou version ultérieure |
| Vigor2866 / 2866 LTE | 4.4.5.3 ou version ultérieure |
| Vigor2925 / 2925 LTE | 3.9.8 ou plus tard |
| Vigor2926 / 2926 LTE | 3.9.9.5 ou plus tard |
| Vigor2927/2927 LTE/2927L-5G | 4.4.5.3 ou version ultérieure |
| Vigor2962 | 4.3.2.8 ou plus tard 4.4.3.1 ou plus tard |
| Vigor3910 | 4.3.2.8 ou plus tard 4.4.3.1 ou plus tard |
| Vigor3912 | 4.3.6.1 ou plus tard |
Reconnaître la contribution
Nous remercions sincèrement l’équipe de recherche en sécurité de Faraday pour ses efforts en matière de tests de sécurité et de signalement en temps opportun de la vulnérabilité, ce qui contribue à améliorer nos mesures de sécurité.
Contacter le support technique
Si vous avez des questions relatives à la sécurité, veuillez nous contacter via le formulaire de contact pour entrer en contact avec notre équipe technique.