【预警通告】Circle with Disney 家长管理与网络过滤产品多个安全漏洞

当地时间2017年10月31日,Talos发布了一系列关于Circle with Disney产品的漏洞通告,涵盖包括远程代码执行,命令注入,拒绝服务等在内的22个不同的漏洞,且部分漏洞CVSS 3.0评分达到高危的9.9以及10分。使用该产品的用户应及时升级来防护。

相关链接:

https://www.talosintelligence.com/vulnerability_reports#disclosed

关于Circle with Disney

Circle with Disney是一款家长管理与网络过滤的产品。Circle会无线连接您的家庭Wi-Fi,并允许您管理网络上的每个设备。 使用Circle应用程序,家庭可以为每个家庭成员创建唯一的配置文件,包括时间限制,内容过滤,使用统计等功能。 从这里开始,孩子们将拥有一个为他们设计的连接体验。

受影响的版本

  • l Circle with Disney 2.0.1

漏洞信息

漏洞CVECVSS 3.0评分
Firmware Update Signature Check Bypass VulnerabilityCVE-2017-28989.9 – CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Apid Photo Upload Denial of Service VulnerabilityCVE-2017-28847.5 – CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apid Server Fork Denial of Service VulnerabilityCVE-2017-28897.5 – CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Apid Strstr Authentication Bypass VulnerabilityCVE-2017-29149.0 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Apid Use-Between-Reallocs Information Disclosure VulnerabilityCVE-2017-120835.8 – CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
Backup API Command Injection VulnerabilityCVE-2017-28669.9 – CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Configuration Restore Photos File Overwrite VulnerabilityCVE-2017-29169.9 – CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Database Updater Code Execution VulnerabilityCVE-2017-28839.0 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Firmware Update Command Injection VulnerabilityCVE-2017-28659.6 – CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Goclient SSL TLD MITM VulnerabilityCVE-2017-29127.4 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Rclient SSH Persistent Remote Access VulnerabilityCVE-2017-120848.0 – CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Startup WiFi Channel Parsing Command Injection VulnerabilityCVE-2017-120947.4 – CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Rclient SSL TLD MITM VulnerabilityCVE-2017-29119.0 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
libbluecoat.so SSL TLD MITM VulnerabilityCVE-2017-29138.1 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
configure.xml Notifications Command Injection VulnerabilityCVE-2017-29179.9 – CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
check_torlist.sh Update Code Execution VulnerabilityCVE-2017-28819.6 – CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
check_circleservers Code Execution VulnerabilityCVE-2017-28829.0 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
WiFi Security Downgrade VulnerabilityCVE-2017-120966.5 – CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
WiFi Restart SSID Parsing Command Injection VulnerabilityCVE-2017-29159.0 – CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Weak Authentication VulnerabilityCVE-2017-28649.8 – CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Token Routing VulnerabilityCVE-2017-120859.0 – CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Restore API Command Injection VulnerabilityCVE-2017-28909.9 – CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

 

解决方案

Circle官方已经发布新版本修复了漏洞,请用户尽快升级固件来进行防护。

参考链接:

https://support.meetcircle.com/13577-general-help/whats-the-latest-app-and-firmware-version-of-circle?from_search=19392044

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

Spread the word. Share this post!

Meet The Author

Leave Comment