Zyxel закрыла критические уязвимости в устаревших NAS326 и NAS542

Татьяна Никитина 05 Июня 2024 - 16:53

...

Zyxel закрыла критические уязвимости в устаревших NAS326 и NAS542

Компания Zyxel Networks выпустила обновления прошивки для отслуживших свое NAS-устройств, в которых объявились три критические уязвимости. Патчи доступны корпоративным пользователям в рамках расширенной поддержки.

Угроза эксплойта актуальна для NAS326 с прошивкой версий 5.21(AAZF.16)C0 и ниже, а также NAS542 с прошивкой v5.21(ABAG.13)C0 и ниже. В обоих случаях гарантийный срок службы (с латанием дыр) истек 31 декабря 2023 года.

Краткая характеристика уязвимостей, согласно бюллетеню вендора:

CVE-2024-29972 — возможность внедрения команд при выполнении сценария remote_help-cgi; эксплойт не требует аутентификации и проводится с помощью вредоносного запроса HTTP POST;
CVE-2024-29973 — возможность инъекции команд с использованием параметра setCookie; эксплойт не требует аутентификации и осуществляется подачей запроса HTTP POST;
CVE-2024-29974 — возможность удаленного исполнения стороннего кода при отработке скрипта file_upload-cgi; эксплойт не требует аутентификации и проводится через загрузку специально созданного конфигурационного файла.

Исследователи из шведской ИБ-компании Outpost24 обнаружили в NAS-устройствах указанных моделей еще две уязвимости. Обе позволяют повысить привилегии в системе и, по мнению Zyxel, менее опасны, поэтому патчить их не стали.

Проблема CVE-2024-29975 возникла из-за небрежно написанного SUID-сценария. В результате возникла возможность локально повысить админ-привилегии до root.

Уязвимость CVE-2024-29976 проявляется при выполнении команды show_allsessions и позволяет после аутентификации получить сессионные куки совершившего вход админа.

В прошлом году Zyxel тоже латала NAS326 и NAS542. Продукты на тот момент не были сняты с довольствия, и в них в плановом порядке закрыли еще одну возможность инъекции команд — CVE-2023-27992.

Следующая главная новость »

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »

Екатерина Быстрова 24 Декабря 2025 - 21:16

Linux Домашние пользователи

Linux вдохнул новую жизнь в видеокарты AMD 2011–2013 годов

Старые видеокарты AMD получили неожиданно хорошие новости из мира Linux. В ближайшей версии ядра Linux 6.19, выход которой ожидается в феврале 2026 года, появится полноценная поддержка графических процессоров на архитектурах GCN 1.0 и 1.1 — тех самых, что дебютировали ещё в 2011–2013 годах.

Речь идёт о поколениях Southern Islands и Sea Islands, знакомых по таким моделям, как Radeon HD 7970, HD 7950, а также Radeon R9 290 и 290X.

До сих пор владельцы этих видеокарт были вынуждены мириться с ограничениями: современный драйверный стек AMDGPU официально поддерживал только GCN 1.2 и более новые архитектуры. Старые GPU оставались за бортом всех свежих оптимизаций.

Ситуацию удалось изменить благодаря работе Тимура Кристофа и команды Valve, которая активно участвует в развитии графического стека для Linux. В результате для GCN 1.0 и 1.1 подготовили новые открытые драйверы, которые теперь планируется включить в основную ветку ядра.

И это не просто «поддержка для галочки». По тестам Phoronix, перевод Radeon HD 7950 на новый драйверный стек даёт прирост производительности до 30%. Особенно заметен эффект в старых OpenGL-играх, где оптимизации оказываются наиболее эффективными.

Одна из ключевых причин такого прироста — полноценная поддержка Vulkan-драйвера RADV из Mesa. Ранее владельцы старых карт были фактически лишены преимуществ современного графического стека, а теперь получают более быстрый и стабильный рендеринг.

Разумеется, ждать чудес не стоит: видеокарты 12–14-летней давности не станут внезапно пригодными для современных AAA-проектов. Но для повседневной работы, старых игр и просто более плавного интерфейса улучшения будут вполне ощутимыми.

Информационные технологии 2025. Подводим итоги года на эфире AM Live.
Присоединяйтесь! »